Normen beskriver organisatoriske, tekniske, fysiske og personellmessige sikkerhetstiltak som anses egnet for å oppnå tilfredsstillende informasjonssikkerhet og personvern i sektoren.
Ved valg av organisatoriske, tekniske, fysiske og personellmessige sikkerhetstiltak skal virksomheten vurdere tiltakene i forhold til virksomhetens størrelse, art, kompleksitet og omfang for behandling av helse- og personopplysninger, pasientsikkerhet og risikobildet mv. Tiltakene skal velges basert på risikovurderinger, og tiltakene skal være forholdsmessige. Dette kan bety at større virksomheter som behandler personopplysninger i større omfang, bør etablere flere tiltak enn mindre virksomheter som behandler personopplysninger i mindre omfang, og der risikoen er mindre kompleks og lettere håndterbar.
Normen har en veileder for små helsevirksomheter som gir nærmere veiledning for hvordan små virksomheter kan jobbe med informasjonssikkerhet og personvern i praksis.
Normen skiller mellom «skal»- og «bør»-krav. «Skal»-krav gjelder for alle. «Bør»-krav må virksomheten selv vurdere om er «egnet» for virksomheten.
Normen er ikke uttømmende for behandling av helse- og personopplysninger der formålet ikke er ytelse av helse- og omsorgstjenester (f.eks. behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.), men relevante krav til informasjonssikkerhet og personvern som beskrives i Normen, gjelder også her. Kravene til informasjonssikkerhet og personvern er i hovedsak like i lovgivning som regulerer både behandlingsrettede helseregistre og annen bruk av helse- og personopplysninger. Virksomheten skal vurdere hvilke krav fra Normen som gjelder basert på den konkrete behandlingen av helse- og personopplysninger (kapittel 3.1 Forholdsmessighet ved valg av tiltak).
En virksomhet håndterer i tillegg personopplysninger om egne ansatte. Normen er ikke uttømmende for behandling av opplysninger om ansatte. Virksomheten skal ivareta de ansattes personvern iht. gjeldende lover og forskrifter. Det er spesielt viktig at opplysninger om de ansattes bruk av informasjonssystemene (logging) kun gjøres med hjemmel i lov, slik at unødvendig overvåking av de ansatte unngås. Den ansatte har rett til innsyn i opplysninger som gjelder den ansatte selv (jf. personvernforordningen artikkel 15 (lovdata.no)).
Normen har krav som dekker de fleste temaer innen informasjonssikkerhet og personvern: mennesker, prosesser, teknologi samt nettverk- og informasjonssystemer, tjenester og produkter. Normen har også støttedokumenter i form av veiledningsmateriell. Veiledningsmateriellet gir veiledning og eksempler på tiltak, se kapittel 6.2
Vedlegget Oversikt over Normens lovkrav inneholder alle Normens "skal-krav", med hjemmel i lov eller forskrift, samt referanser til ISO 27001:2023 og 27002:2022.
