De utfordringer som dette medfører for personvernet ga støtet til at Helsedirektoratet (daværende Helse- og sosialdirektoratet) i 2003 tok initiativ til å utarbeide omforente regler for trygg og sikker informasjonsutveksling mellom aktørene i sektoren.
Relevante aktører ble invitert til å være med på arbeidet med å lage disse reglene, og arbeidet ble igangsatt, med Helsedirektoratet som sekretariat og organisatorisk knutepunkt.
Dokumentet som var under utvikling fikk tittelen «Norm for informasjonssikkerhet i helsesektoren», med kortformen Normen.
Normen ble ferdigstilt i første halvdel av 2006, og 28. juni 2006 ble Normen formelt godkjent av styringsgruppen oppnevnt av sektoren.
Datatilsynet
7. august 2006 ga Datatilsynet, som er tilsynsmyndighet på området, sin formelle vurdering av Normen. Normen ble formelt lansert 7. september 2006.
I forbindelse med godkjenningen, uttalte Datatilsynet bl.a. at Normen «anses for å være et egnet verktøy i arbeidet for å etterleve personopplysningslovens og helseregisterlovens bestemmelser om informasjonssikkerhet.»
Datatilsynet understreket også «den prinsipielle viktigheten av at bransjen nå har vært i stand til å enes om en felles norm for informasjonssikkerhet».
Støttedokumenter
Parallelt med utviklingen av Normen, er det utarbeidet ulike støttedokumenter (veiledere og faktaark) som går i dybden på spesifikke temaer og områder.
I tråd med endringer i regelverk, teknologi og bransjepraksis, og med basis i innspill fra berørte aktører, endres Normen og støttedokumentene.
Utvidet område
På slutten av 2009 ble det vedtatt å utvide området for Normen ved at den også omfatter sosialsektoren. Normens formelle tittel ble endret samtidig, og lyder nå «Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren».
Versjon 2 av Normen var klar i juli 2010.