De Consumentenbond stelt dat de aansprakelijkheid bij misbruik van privégegevens uit het elektronisch patiëntendossier onvoldoende is geregeld. De Bond wil dat het ministerie van VWS de aansprakelijkheid per wet gaat regelen.
Volgens de Consumentenbond, die een analyse uitvoerde naar het epd, hebben consumenten weliswaar voldoende zeggenschap over de medische gegevens in hun elektronisch dossier, maar is het onduidelijk wie er aansprakelijk is wanneer deze informatie in verkeerde handen valt. Dit komt, zo stelt de Bond, omdat meerdere partijen aansprakelijk kunnen zijn en dit per geval kan verschillen wie dat is. Ook is er geen meldplicht voor organisaties als privé-gegevens daadwerkelijk in verkeerde handen komen, bijvoorbeeld door een computerinbraak. Ook zou de bijbehorende klachtafhandeling in dergelijke gevallen onvoldoende zijn geregeld.
Een ander punt waar de Consumentenbond kritisch over is, is het feit dat artsen onbeperkt kopieën kunnen maken van complete medische dossiers of delen daarvan. Deze kunnen volgens de Bond gemakkelijk worden vermenigvuldigd en bijvoorbeeld lokaal op de harde schijf van een behandelend medicus worden geplaatst. Hoewel artsen momenteel ook al kopieën maken van dossiers, is dit veelal beperkt tot binnen een ziekenhuis. Bij een landelijk systeem ligt dit echter veel gevoeliger, zo stelt de Consumentenbond. Als een consument zijn gegevens uit zijn EPD wil laten verwijderen, is vrijwel niet na te gaan of de diverse zorgverleners waar de persoon mee te maken heeft gehad, nog ergens lokale kopieën hebben staan. De Bond stelt dat dit 'uitwaaieringseffect' de rechten van consumenten schaadt.
De Consumentenbond noemt tenslotte ook de folder over het epd die consumenten eind 2008 op hun deurmat zagen vallen, niet compleet. Zo wordt er geen informatie verstrekt over de voor- en nadelen van het al dan niet afzien van deelname aan het epd. Opvallend is wel dat de Consumentenbond stelt dat er goed is nagedacht over de beveiliging van het elektronisch patiëntendossier, zoals de authenticatie-methode en het loggen van acties, terwijl veel artsen onlangs nog aangaven geen vertrouwen te hebben in de veiligheid. Bovendien was minister Klink genoodzaakt om het authenticatiesysteem te herzien, nadat enkele kwetsbaarheden in de zogeheten uzi-smartcards waren ontdekt.