Naast het MC|Zuiderzee had het CBP ook het Medisch Spectrum Twente en de Ommelander Ziekenhuis Groep in juni 2009 een last onder dwangsom opgelegd wegens een tekortschietende informatiebeveiliging. Deze twee ziekenhuizen bleken tijdens de nacontrole wel binnen de gestelde termijn voldoende maatregelen te hebben genomen.
In ziekenhuizen gaat het veelal om gevoelige gegevens betreffende de gezondheid. De beveiliging van deze gegevens moet dan ook in het belang van de kwaliteit van de zorg en de privacy van patiënten aan de hoogste normen voldoen. In 2007 heeft het CBP samen met de Inspectie voor de Gezondheidszorg (IGZ) onderzoek gedaan naar de informatiebeveiliging in twintig ziekenhuizen. De conclusie was dat geen van de onderzochte ziekenhuizen aan de norm voor informatiebeveiliging voldeed. Het CBP heeft de ziekenhuizen in juli 2008 al geïnformeerd over het voornemen om handhavend op te treden indien de ziekenhuizen onvoldoende maatregelen namen om de informatiebeveiliging te verbeteren. In juni 2009 kregen vier van de twintig onderzochte ziekenhuizen die volgens het CBP onvoldoende voortvarend werk van het verbeteren van de informatiebeveiliging hadden gemaakt daarom een last onder dwangsom opgelegd (link). De ziekenhuizen kregen daarbij drie maanden – tot 1 september 2009 - de tijd om hun informatiebeveiliging alsnog in overeenstemming te brengen met de Wet bescherming persoonsgegevens (Wbp). Het CBP is overgegaan tot het innen van de dwangsom bij het MC|Zuiderzee omdat het ziekenhuis na afloop van de gestelde termijn nog steeds geen volledige risicoanalyse voor de beveiliging had gemaakt. Het MC|Zuiderzee heeft aangegeven het niet eens te zijn met de beslissing van het CBP de dwangsom te innen en heeft hiertegen beroep ingesteld.