In ziekenhuizen gaat het veelal om gevoelige gegevens betreffende de gezondheid. De beveiliging van deze gegevens moet dan ook in het belang van de kwaliteit van de zorg en de privacy van patiënten aan de hoogste normen voldoen. In
2007 heeft het CBP samen met de Inspectie voor de Gezondheidszorg (IGZ) onderzoek gedaan naar de informatiebeveiliging in twintig ziekenhuizen. De conclusie was dat geen van de onderzochte ziekenhuizen aan de norm voor informatiebeveiliging voldeed.
Het CBP heeft de ziekenhuizen in juli 2008 al geïnformeerd over het voornemen om handhavend op te treden indien de ziekenhuizen onvoldoende maatregelen namen om de informatiebeveiliging te verbeteren. In
juni 2009 kregen vier van de twintig onderzochte ziekenhuizen die volgens het CBP onvoldoende voortvarend werk van het verbeteren van de informatiebeveiliging hadden gemaakt daarom een last onder dwangsom opgelegd. De ziekenhuizen kregen daarbij drie maanden de tijd om hun informatiebeveiliging alsnog in overeenstemming te brengen met de Wbp. Het CBP heeft na afloop van de gestelde termijn geconstateerd dat het MC|Zuiderzee nog steeds geen volledige risicoanalyse voor de beveiliging had gemaakt
. Het Medisch Spectrum Twente en de Ommelander Ziekenhuis Groep bleken tijdens de nacontrole binnen de gestelde termijn voldoende maatregelen te hebben genomen.
Het MC|Zuiderzee heeft inmiddels naar aanleiding van de bevindingen en de handhavingsprocedure van het CBP een nieuwe risicoanalyse uitgevoerd. Het ziekenhuis voldoet met deze laatste risicoanalyse alsnog aan de norm voor informatiebeveiliging in de zorgsector. Het CBP heeft in het licht van de specifieke omstandigheden van het geval besloten om de beperkt beschikbare publieke middelen van het CBP niet in te zetten voor verdere invordering van de dwangsom.