Bij de controle werd gekeken naar wie toegang had tot welke informatie in het digitale patiëntendossier van ziekenhuizen, ggz-instellingen en huisartsen en of dit ook werd bijgehouden in een logboek. De AP merkte dat het op twee punten misging. Medewerkers kregen te ruime toegang tot het dossier. Dat terwijl er mogelijkheden zijn om bepaalde onderdelen van het dossier af te sluiten, maar hier maken instellingen te weinig gebruik van. Ook was de controle rondom de toegangsrechten niet voldoende. Medewerkers die hun bevoegdheid te buiten gingen, kregen geen sancties opgelegd. Dit omdat het vaak niet duidelijk was wie wanneer wat las.

“Bij die instellingen bleken intensieve verbetertrajecten nodig om de overtredingen te beëindigen”, schrijft de AP in de brief. De instellingen voldoen inmiddels wel aan de wettelijk gestelde eisen. Maar omdat problemen zich waarschijnlijk vaker voordoen, is het belangrijk om scherp te blijven en analyses uit te voeren. Ook denkt dat de AP dat de raad van bestuur leiding moet nemen wanneer er een aanschaf of update van ICT-voorzieningen plaatsvindt.