Uit een onderzoek van het College Bescherming Persoonsgegevens (CBP) bij negen zorginstelling is gebleken dat er geen van de instellingen voldeed aan de wettelijke vereisten wat betreft de toegang van persoonlijke gegevens. Zij bedienen gezamenlijk ongeveer een miljoen patiënten. De omgang met medische gegevens zou een stuk beter moeten dan dat nu het geval is.
Officieel mogen uitsluitend bevoegde medewerkers inzicht krijgen tot patiëntengegevens maar in de praktijk blijkt dat dat niet altijd het geval is. Daarnaast moet het traceerbaar zijn wanneer iemand onterecht in iemand zijn gegevens heeft gekeken, ook dat is niet overal goed geregeld. De onderzochte instellingen moeten de toegang tot de privacygevoelige gegevens beter regelen als zij geen dwangsom opgelegd willen krijgen.