De eerste AVG-boete, van €460.000 is door de Autorieit Persoonsgegevens (Dutch DPA) opgelegd aan het Hagaziekenhuis. De interne beveiliging van patiëntendossiers was niet op orde, waardoor het voor 85 nieuwsgierige medewerkers mogelijk was om onnodig het medisch dossier van Samantha de Jong, beter bekend als Barbie, in te zien. Samantha heeft hier vorig jaar een schadevergoeding van €14.000 voor ontvangen na een schikking met het ziekenhuis.
Om de beveiliging op orde te krijgen moet het ziekenhuis two-factor-authentication instellen en regelmatig controleren door wie een dossier wordt geraadpleegd. Als deze aanpassingen voor oktober 2019 nog niet zijn doorgevoerd legt de AP iedere twee weken daarna, een last onder dwangsom op van €100.000 (tot een maximum van €300.000).
Opvallend dat juist een ziekenhuis de eerste boete (met bestraffen als doel) ontvangt, met daarbovenop nog een last onder dwangsom (met herstel als doel). Waarom niet is gekozen om alleen een last onder dwangsom op te leggen legt de AP uit in haar boetebesluit. Onder andere door de langdurigheid van de overtreding, het feit dat dit een afwijking was van het eigen autorisatiebeleid en de nalatigheid om maatregelen te treffen is gekozen voor deze bestraffende maatregel.