Ved vurderinger og valg av sikkerhetstiltak skal virksomheten vurdere tiltakene opp mot virksomhetens art, omfang og kompleksitet for behandling av helse- og personopplysninger og pasientsikkerhet. Ved vurdering av teknologiske sikkerhetstiltak skal det også tas hensyn til virksomhetens driftsmiljø, brukermiljø, funksjon og risiko ved virksomhetens nettverk- og informasjonssystemer.
Sikkerhetstiltakene skal samlet sørge for et sikkerhetsnivå som er tilpasset risikobildet, og skal bidra til å forebygge, avdekke, håndtere og redusere konsekvensen av hendelser. Dette gjelder særlig i vurderingen av egnet sikkerhetsorganisasjon, arbeidsoppgaver, kontrolloppgaver og tiltak innen informasjonssikkerhet, nettverk- og informasjonssystemer, tjenester, produkter og prosesser (for eksempel tilgangsstyring, logging, hendelseshåndtering, fysisk sikring, leverandørkjeder, anskaffelser mv.).
Virksomheten skal sørge for at det er forholdsmessighet mellom risiko og tiltakets kostnad.
