Følgende krav skal ivaretas ved etablering av intern samhandling:
- Virksomheten skal ha oversikt over og kontroll på alt utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Dette gjelder også utstyr ved hjemmekontor og mobilt utstyr.
- Konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjoner som er formålsbestemt.
- Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:
- risikovurdering som viser at nivå for akseptabel risiko oppfylles
- test som sikrer at forventede funksjoner er ivaretatt
- implementering som sikrer mot uforutsette hendelser
- ny konfigurasjon er dokumentert
- virksomhetens leder, eller den ledelsen bemyndiger, har godkjent endringen
