Dette kapitlet beskriver sentrale sikkerhetstiltak. Sikkerhetstiltak skal velges på grunnlag av risikovurderinger. Virksomheten skal vurdere om det er nødvendig å gjennomføre mer omfattende tiltak enn det som er beskrevet i dette kapittelet.
De fleste sikkerhetskravene i kapittel 5. Informasjonssikkerhet gjelder også for behandling av helse- og personopplysninger med andre formål enn ytelse av helse- og omsorgstjenester. Virksomheten vurderer hvilke tiltak som er nødvendige (for eksempel innen tilgangsstyring og logging).
