Normen beskriver organisatoriske og tekniske tiltak som anses egnet for å oppnå tilfredsstillende informasjonssikkerhet og personvern i sektoren.
Ved valg av egnede tekniske og organisatoriske tiltak skal virksomheten vurdere tiltakene i forhold til virksomhetens størrelse, art og omfang for behandling av helse- og personopplysninger, pasientsikkerhet, risikobildet m.v. Tiltakene skal velges basert på risikovurderinger, og tiltakene skal være forholdsmessige. Dette kan bety at større virksomheter som behandler personopplysninger i større omfang, bør etablere flere tiltak enn mindre virksomheter som behandler personopplysninger i mindre omfang, og der risikoen er mindre kompleks og lettere håndterbar.
Normen har en veileder for små helsevirksomheter som gir nærmere veiledning for hvordan små virksomheter kan jobbe med informasjonssikkerhet og personvern i praksis.
Normen skiller mellom «skal»- og «bør»-krav. «Skal»-krav gjelder for alle. «Bør»-krav må virksomheten selv vurdere om er «egnet» for virksomheten.
Normen er ikke uttømmende for behandling av helse- og personopplysninger der formålet ikke er ytelse av helse- og omsorgstjenester (f.eks. behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.) men relevante krav til informasjonssikkerhet og personvern som beskrives i Normen, gjelder også her. Kravene til informasjonssikkerhet og personvern er i hovedsak like i lovgivning som regulerer både behandlingsrettede helseregistre og annen bruk av helse- og personopplysninger. Virksomheten skal vurdere hvilke krav fra Normen som gjelder basert på den konkrete behandlingen av helse- og personopplysninger, se kapittel 3.1 Forholdsmessighet ved valg av tiltak.
En virksomhet håndterer i tillegg personopplysninger om egne ansatte. Normen er ikke uttømmende for behandling av opplysninger om ansatte. Virksomheten skal ivareta de ansattes personvern iht. gjeldende lover og forskrifter. Det er spesielt viktig at opplysninger om de ansattes bruk av informasjonssystemene (logging) kun gjøres med hjemmel i lov, slik at unødvendig overvåking av de ansatte unngås. Den ansatte har rett til innsyn i opplysninger som gjelder den ansatte selv jf. personvernforordningen artikkel 15. Den registrertes rett til innsyn (lovdata.no).
Normen har krav som dekker de fleste temaer innen informasjonssikkerhet og personvern: mennesker, prosesser og teknologi. Normen har også støttedokumenter i form av veiledningsmateriell. Veiledningsmateriellet gir veiledning og eksempler på tiltak, se kap. 6.2.
Vedlegg til Normen - Oversikt over Normens krav mappet mot krav i anskaffelser, krav i ISO 27001 og kontroller i ISO 27002 inneholder alle Normens "skal-krav", lov- og forskriftshjemler, samt andre hjelpemidler i arbeidet med Normen.
