Naar aanleiding van eerder onderzoek had het CBP in juni 2009 onder meer het Rijnland Ziekenhuis een last onder dwangsom opgelegd omdat het beveiligingsniveau niet voldeed aan de hiervoor geldende norm. Met name het ontbreken van een adequate risicoanalyse werd het ziekenhuis zwaar aangerekend. Het ziekenhuis kreeg hierop drie maanden de tijd om de informatiebeveiliging alsnog op orde te brengen. Tijdens de controle na afloop van de termijn bleek dat het ziekenhuis nog steeds geen gedegen risicoanalyse had uitgevoerd waardoor de dwangsom is verbeurd. Het Rijnland Ziekenhuis heeft in het licht van de eerdere bevindingen en de handhavingsprocedure van het CBP opnieuw een risicoanalyse laten maken. Met deze laatste risicoanalyse heeft het Rijnland Ziekenhuis zijn informatiebeveiliging alsnog in overeenstemming gebracht met de Wet bescherming persoonsgegevens (Wbp). Daarmee is het door het CBP beoogde resultaat bereikt. Het CBP heeft na een zorgvuldige afweging van verschillende belangen dan ook besloten om de reeds verbeurde dwangsom niet te innen.
z2010-00032