a) Fastsette nivå for akseptabel risiko. Virksomheten skal vurdere hva som er nødvendige sikringsmekanismer ift. den faktiske bruken; omfang av data på utstyret, sletteprosedyrer, sannsynligheten for at utstyret kommer på avveie, muligheten for 3. part å få innsyn, hvor lett det er å identifisere enkeltpersoner, osv.
b) Gjennomføre risikovurdering av bruk av mobilt utstyr.
c) Prioritere tiltak som ivaretar forholdsmessig sikring.
