Uit datalekken worden echte gebruikersgegevens openbaar. Daarbij komen soms e-mailadressen en wachtwoorden op straat te liggen. De website haveibeenpwned.com stelt een API beschikbaar om te verifiëren of een wachtwoord bekend is geworden in een datalek. Als dat zo is, moet het wachtwoord niet meer gebruikt worden. De PVM controleert met behulp van de HIBP of het certificaatwachtwoord nog veilig is. De verbinding naar de API wordt via https://www.zorgttp.nl gelegd, mocht dat niet lukken dan wordt een tweede poging gewaagd op api.pwnedpasswords.com.
De controle vindt één keer per week plaats, bij wijziging van certificaat of wachtwoord en bij het aanmaken van een nieuw certificaat.