Etter helselovgivningen og personvernlovgivningen plikter enhver virksomhet som behandler helse- og personopplysninger å gjennomføre tekniske og organisatoriske tiltak som sikrer overholdelse av krav til informasjonssikkerhet og personvern.
Virksomhetene må gjennomføre tilstrekkelige risikovurderinger for å unngå at informasjonsbehandlingen i virksomheten gir uakseptabel risiko for oppsporing av trusselutsatte personer. Arbeidet bør være risikobasert, dvs. at risikovurdering og -håndtering prioriteres på de områdene med (antatt/vurdert) høyest risiko.
Det er viktig at personellet som gjennomfører risikovurderingen er riktig sammensatt og består av kompetanse som forstår hele verdikjeden. Dette er særlig viktig der geolokaliserende opplysninger skal behandles av en databehandler.