All kommunikasjon av helse- og personopplysninger utenfor virksomhetens kontroll skal krypteres Kommunikasjonen skal, enten denne skjer via trådløst samband eller fysiske linjer, sikres med kryptering. Krav og anbefalinger om kryptering bør sees i sammenheng med veilederens kapittel om Kommunikasjonssikkerhet.
For å etterleve Normens krav anbefales å se til grunnprinsipper for IKT-sikkerhet (nsm.no)
Normen beskriver at kryptering av lagrede helse- og personopplysninger kan vurderes som sikkerhetstiltak, i tråd med kravene til registre etablert med hjemmel i helseregisterloven §§ 10 og 11, der direkte personidentifiserende kjennetegn skal lagres kryptert.
Helse- og personopplysninger som lagres lokalt på mobilt utstyr, skal alltid lagres kryptert, og kun når det er nødvendig ut fra tjenstlig behov, i tråd med Normen kapittel 5.3.4.
Ved behov for å kryptere data i ro bør tiltaket "Krypter lagringsmedier som holder konfidensielle data og som lett kan mistes eller kompromitteres" etableres for å oppfylle kravene i Normen kapittel 5.3.5 om kryptert lagring av direkte personidentifiserende kjennetegn.
