Krav til virksomhetens styringssystem, herunder krav til risikovurdering, omfang og dokumentasjon fremgår av forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten og forskrift om håndtering av humane celler og vev § 8.
- Virksomheten skal ha skriftlig prosedyre for hvordan opplysninger i virksomheten skal håndteres og for hvilke opplysninger som kan kobles.
- Virksomheten skal foreta en risikovurdering mht. sikring av de taushetsbelagte opplysningene, og har et selvstendig ansvar for at det til enhver tid gjeldende regelverk og gjeldende norm for informasjonssikkerhet i helsesektoren etterleves.
- Tilgang kan bare gis til personell der mor-donorkoderegisteret eller donasjonsregisteret føres, og som har tjenstlig behov for tilgang. Virksomheten skal kunne dokumentere hvem som har tilgang til registrene.
- Oppslag i registrerte opplysninger i mor-donorkoderegisteret skal kun foretas for å registrere nye opplysninger.
- Oppslag loggføres.