In 2018 bleek dat tientallen medewerkers van het HagaZiekenhuis onrechtmatig het dossier van een bekende Nederlander hadden ingezien, meldde het ziekenhuis aan de AP. Na onderzoek van de AP bleek dat het HagaZiekenhuis de interne beveiliging van patiëntendossiers niet op orde had. Daardoor hadden medewerkers onterecht toegang tot patiëntendossiers.
De AP concludeerde dat het HagaZiekenhuis was tekortgeschoten in haar beveiligingsplicht, die is vastgelegd in de AVG. De AP gaf het ziekenhuis bovenop de basisboete van 310.000 euro vanwege de ernst nog een extra boete van 150.000 euro.
Onevenredig
Tegen dat laatste ging het ziekenhuisbestuur in beroep. De rechtbank in Den Haag is het eens dat de boete onevenredig is. Voorts zegt de rechtbank dat ze het van belang vindt dat het HagaZiekenhuis in de bezwaarfase bij de AP al aanvullende beveiligingsmaatregelen had getroffen. Zo was een tweefactor authenticatie ingevoerd en was de loggingcontrole versterkt.
