Volgens de ziekenhuizen zijn er geen medische gegevens gelekt. Wel waren de geboortedata, dossiernummers en de vermeldingen van het specialisme toegankelijk voor kwaadwillenden. 

De meeste getroffen patiënten (ruim 195.000) komen uit België, meldt Omroep Max. 

De ziekenhuizen zijn afgelopen donderdag door de omroep op de hoogte gesteld van het lek. dat inmiddels is verholpen. De gegevens zouden inzichtelijk zijn geweest via een openbare url, waardoor iedereen die afwist van de link de database kon betreden. 

Naast het datalek ontdekte Omroep Max ook dat het scanwerk van iGuana in sommige gevallen voor een deel werd uitbesteed aan sociale werkplaatsen en gedetineerden in onder meer de Centrale Gevangenis in het Belgische Leuven. 

Aangetoond is dat in ieder geval medische dossiers van het Zwolse ziekenhuis Isala en het Amphia Ziekenhuis in Breda zouden scanklaar zijn gemaakt door de gevangenis in Leuven. Dat betekent dat gevangenen bijvoorbeeld nietjes uit papieren dossiers verwijderden, om ze klaar te maken voor een automatisch scanproces.

Volgens de Wet Bescherming Persoonsgegevens (WBP) en de Wet op de Geneeskundige Behandelingsovereenkomst is het niet toegestaan om onbevoegde toegang te geven tot dossiers met dit soort vertrouwelijke informatie.

Sinds 1 januari geldt in Nederland bovendien de meldplicht datalekken, waardoor bedrijven en instanties bij ernstige datalekken een melding moeten maken bij de Autoriteit Persoonsgegevens. Doen zij dat niet, dan kan er een boete worden uitgedeeld.

Bij zeer ernstige lekken, bijvoorbeeld van medische gegevens, moeten ook de getroffen personen zelf worden geïnformeerd over een lek. Het St. Anna Ziekenhuis heeft daarom ruim 4.500 patiënten een brief gestuurd. Bij het Nijmeegse Canisius-Wilhelmina Ziekenhuis ging het naar eigen zeggen om 52 patiënten.