Het CBP en de IGZ concluderen in hun onderzoek dat in ziekenhuizen maar zeer beperkt bewustzijn is van de risico´s van onvoldoende informatiebeveiliging. Het merendeel van de ziekenhuizen neemt dan ook te weinig maatregelen om de informatiebeveiliging zeker te stellen. Door patiëntgegevens onvoldoende te beveiligen, ontstaan aanzienlijke risico’s voor de zorg aan en de privacy van de patiënt. Zo kan onzorgvuldig omgaan met inloggegevens ertoe leiden dat ongeautoriseerde medewerkers toegang hebben tot privacygevoelige gegevens van patiënten. Het onderzoeksrapport bevat een praktijkvoorbeeld waarbij meerdere medewerkers die geen behandelrelatie hadden met een patiënt, te weten de voorzitter van de Raad van Bestuur van het ziekenhuis, zich toegang hadden verschaft tot zijn elektronisch medisch dossier.
Informatiebeveiliging in de zorg betreft zowel het toezichtsdomein van het College bescherming persoonsgegevens (CBP) als de Inspectie voor de Gezondheidszorg (IGZ). Om die reden hebben de toezichthouders het onderzoek gezamenlijk uitgevoerd op grond van het samenwerkingsprotocol tussen het CBP en de IGZ. Voor het onderzoek is gebruik gemaakt van de NEN 7510-norm die in 2004 is vastgesteld voor informatiebeveiliging in de zorgsector.