De zaak kwam boven tafel, nadat het ziekenhuis een datalek meldde. Onbevoegde medewerkers hadden het dossier van een Bekende Nederlander ingezien. Het navolgende onderzoek door de AP bracht de beveiligingsproblemen aan het licht. Het ziekenhuis had onder andere geen tweefactor-beveiliging voor de patiƫntendossiers. Daarnaast werden jaarlijks slechts een heel klein aantal dossiers getoetst, om te zien of dossiers inderdaad alleen door daartoe bevoegde personen inzichtelijk zijn.
Verbetering beveiligingsbeleid
Naast de boete, legt de AP het ziekenhuis een last onder dwangsom van maximaal 300.000 euro op, als het beveiligingsbeleid niet binnen 15 weken is verbeterd.