Virksomheten skal etablere prosedyre for tildeling, administrasjon og kontroll av tilgangsrettigheter. Tilgang til helse- og personopplysninger kan kun gis når det er nødvendig for å få tilstrekkelig informasjon til å gjennomføre eller bistå ved gjennomføringen av et behandlingstiltak, etter pasientens samtykke eller iht. lovbestemte unntak fra taushetsplikten.
Hvis virksomheten har etablert rutiner for nødrettstilgang, kan det etableres en mulighet der autoriserte brukere selv gir seg tilgang. Begrunnelsen for nødrettstilgang skal dokumenteres, og bruken av denne tilgangen skal følges opp som et avvik. Hvis situasjonen til pasienten er så alvorlig at det kan begrunnes ut i fra liv og helse kan også nødrettstilgang brukes på informasjon som er underlagt reservasjon mot innsyn.
