a. Risikovurderingen må ta utgangspunkt i de konkrete fysiske arealene som skal sikres mot uautorisert adgang, se "Veileder om risikostyring i informasjonssikkerhet og personvern".
b. Risikovurderingen bør belyse behov for å definere arealene i ulike soner, ut fra virksomhetens størrelse. En sonemodell for fysisk adgang til helse- og personopplysninger for interne og eksterne kan defineres slik:
- åpen sone: arealer hvor publikum har fri adgang, korridorer, venterom, fellesarealer, områder med alminnelig ferdsel
- indre sone: åpne arbeidsplasser (områder med begrenset ferdsel), arealer beregnet kun for medarbeidere i virksomheten, evt. publikum i følge med medarbeidere, resepsjonsarbeidsplassen, kontorer, vaktrom, behandlingsrom
- sikker sone: areal hvor kun spesielt godkjente medarbeidere har adgang, og hvor publikum ikke skal ha adgang (områder med sterk adgangsbegrensning), datarom, rom med nettverk, servere og kommunikasjonsutstyr
c. For mindre virksomheter der soneinndeling ikke er mulig må risikovurderingen belyse risiko for adgang til helse- og personopplysninger innen det aktuelle arealet.
