Virksomhetens øverste ledelse skal selv gjennomgå virksomhetens aktiviteter innen informasjonssikkerhet og personvern minst en gang i året.
Gjennomgangen kan være nødvendig ved
- endringer i behandlinger av helse- og personopplysninger (protokoll)
- endringer i organiseringen av arbeidet
- resultat fra risikovurderinger og personvernkonsekvensvurderinger
- resultat av avviksbehandling
- oppfølging av leverandører og databehandleravtaler
- endring i akseptabel risiko mv.
Dersom gjennomgangen avdekker at virksomhetens risiko ikke er akseptabel, skal det vedtas tiltaksplaner for å rette opp dette, med tidsfrister og plassering av ansvar.
Ledelsens gjennomgang skal dokumenteres.
