3. Ansvar og styring
3.1. Inkludering av MU i styringssystem for informasjonssikkerhet (ledelsessystem)
3.2. Dataansvar
3.3. Behandlingsgrunnlag
3.4. Protokoll
3.5. Den registrertes rettigheter
3.6. Bruk av databehandler
3.7. Virksomhetens ansvar for informasjonssikkerhet når medisinsk utstyr tas i bruk
3.8. Leverandører og databehandlere
Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.