Nach den erwähnten Medienberichten hat die CSS im Rahmen ihrer internen Revision im Bereich Control feststellen müssen, dass die Zugriffsberechtigung auf Daten der Versicherten zuwenig genau definiert war. Die ungenaue Zugriffs-Definition und -Abgrenzung hatte zur Folge, dass die Anzahl der Mitarbeiter mit Zugriffsrecht Control als zu hoch gewertet werden musste. Die CSS sah sich deshalb veranlasst, die Anzahl der Mitarbeiter mit Zugangsberechtigung Control von „gut 150 Benutzern“ zu reduzieren.