Tilgang til EPJ skal dokumenteres i journalen med opplysninger om hvem som er gitt tilgang og periode.
Virksomheten bør ha prosedyre for kontroll av hendelsesregistre for å avdekke uautorisert tilgang jf. Logging og innsyn i logg (faktaark 15) samt deaktivering av brukerkontoer som ikke er i bruk.
