Het draait om een dataset van Stichting Benchmark GGZ (SBG), die onderzoek deed naar de kwaliteit van de geestelijke gezondheidszorg, waarbij patiënten vragenlijsten moesten invullen. De gegevens die hieruit voortkwamen, werden voorzien van pseudoniem.
Het proces waarbij dat pseudoniem werd aangemaakt, was echter niet gerandomiseerd. Daardoor was de identiteit van de patiënt mogelijk herleidbaar.
SBG droeg de dataset over aan Akwa, dat soortgelijk onderzoek doet, kort voordat de stichting werd ontbonden. Omdat noch Akwa noch SBG een zorginstelling is, mogen zij geen medische persoonsgegevens verwerken. Volgens AP is dat hier wel gebeurd.
Akwa heeft de data in quarantaine geplaatst en vervolgens vernietigd, meldt AP. Daarom ziet de autoriteit geen aanleidingen om sterkere maatregelen te nemen.