Normen sier at «Den som har det overordnede ansvaret for en virksomhet, skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter (internkontroll).»
Internkontrollen skal være formalisert, og det er et krav i Normen at dokumentasjon om internkontrollen til enhver tid skal være oppdatert og lett tilgjengelig for alle ansatte. Det må også etableres rutiner for å sikre at styrende dokumenter til enhver tid er oppdaterte i tråd med krav i gjeldende lovverk, beslutninger, organisatoriske løsninger, rutiner og andre relevante styringsdokumenter. Informasjonssikkerhet og personvern bør inngå som en integrert del av den totale internkontrollen i virksomheten.
Leverandøren har som alle andre virksomheter i helse- og omsorgssektoren plikt til å dokumentere sitt eget ansvar og sin egen organisering av arbeidet med informasjonssikkerhet og personvern.
Kunden vil kunne ønske å verifisere at du tar informasjonssikkerhet på alvor og at dine underleverandører også implementerer passende tiltak for å beskytte informasjonen som de behandler.
Alle løsninger/prosesser som behandler personopplysninger skal inngå i styringssystemet.
Det finnes flere standarder og sertifiseringer som kan være gode verktøy for leverandører for å implementere og dokumentere styring og kontroll. En mye brukt standard er ISO 27001 og 27002. Kravene i Normen en mappet mot ISO 27001 og 27002. Les mer om dette på Vedlegg til Normen - Oversikt over Normens krav mappet mot krav i anskaffelser, krav i ISO 27001 og kontroller i ISO 27002
