- Den behandlingsansvarlige (ofte øverste skolemyndighet e.l.) og databehandler (ofte et foretak som utfører oppdrag for den behandlingsansvarlige), har begge et selvstendig ansvar for å sikre personopplysningene.
- Informasjonssikkerhet etter bestemmelsen omfatter sikring av personopplysningenes konfidensialitet, dvs at opplysningene ikke skal være tilgjengelige for uvedkommende. Taushetspliktbestemmelser er alltid viktige for å avgjøre hvilke slike krav som gjelder. Konfidensialiteten skal både sikres ved at opplysninger ikke ulovlig skal overleveres til uvedkommende, og ved ta uvedkommende skal hindres i å bryte seg inn og skaffe seg ulovlig tilgang til opplysningene. Sikring av personopplysningenes integritet innebærer en plikt til å forsikre seg om at endringer av opplysninger kun skjer av personer som har rett til det, og på korrekte måter. Krav om tilgjengelighet innebærer at personopplysningene skal være disponible til de formål de er innsamlet for.
- Sikkerhetstiltakene kan være av et hvert slag: Tekniske (f.eks. installasjon av brannmur), organisatoriske (f.eks. tildeling av daglig sikkerhetsansvar), juridiske (f.eks. fastsettelse av utfyllende sikkerhetsbestemmelser), pedagogiske (f.eks. sikkerhetsopplæring av personale), økonomiske (f.eks. premiering for godt sikkerhetsarbeid).
- Sikkerhetstiltakene skal være planlagte, dvs det skal på forhånd være fastlagt hvorledes opplysningene skal sikres (og ikke først når det oppstår et særskilt behov). Meldeplikten i § 32 bokstav i, innebærer at sikkerheten må være vurdert minst 30 dager før behandlingen av personopplysninger settes i gang.
- Sikkerhetstiltakene skal være systematiske, dvs ikke tilfeldige eller kun styrt av hendelser.
