Ved valg av egnede tekniske og organisatoriske tiltak skal virksomheten vurdere tiltakene opp mot virksomheten, art og omfang for behandling av helse- og personopplysninger, pasientsikkerhet, risikobildet mv.
Dette gjelder særlig i vurderingen av egnet sikkerhetsorganisasjon, arbeidsoppgaver, kontrolloppgaver og tiltak innen informasjonssikkerhet (for eksempel tilgangsstyring, logging, fysisk sikring, beredskap mv.).
Virksomheten skal sørge for at det er forholdsmessighet mellom risiko og tiltakets kostnad
