Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven § 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven § 13.

Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå.

Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for
a) innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven §§ 8, 9 og 11,
b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven § 11 bokstav a,
c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven §§ 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik,
d) oppfyllelse av begjæringer om innsyn og informasjon, jf. personopplysningsloven §§ 16 til 24,
e) oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. personopplysningsloven §§ 25 og 26,
f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven §§ 31 til 33.

Databehandlere som behandler personopplysninger på oppdrag fra behandlingsansvarlige, skal behandle opplysningene i samsvar med rutiner behandingsansvarlige har oppstilt.