Hver virksomhet i helse- og omsorgssektoren må fastsette og følge egne rutiner og prosedyrer for bruk av folkeregisteropplysninger og annen geolokaliserende informasjon om trusselutsatte. Dette gjelder også virksomheter som behandler informasjon fra helse- og omsorgstjenesten, for eksempel NAV.
Overholdelse av denne plikten bør i størst mulig grad sikres i virksomhetens styringssystem, jf. Normen kap. 2 Ledelse og ansvar. Kripos har et tett samarbeid med helse- og omsorgssektoren og kan bistå og gi råd i aktuelle spørsmål.