- Kravet til internkontroll innebærer krav om at den behandlingsansvarlige selv må treffe tiltak for å sikre at all behandling av personopplysninger i virksomheten er lovlig.
- Internkontrollsystemet innebærer at det må vurderes behov for tiltak som sikrer at personopplysningsloven og -forskriften blir fulgt. Dessuten må en sikre at eventuelle vedtak som spesielt gjelder behandling hos den behandlingsansvarlige blir fulgt. For eksempel kan det være truffet konsesjonsvedtak (jf § 33 flg.) eller Datatilsynet kan ha truffet vedtak om at skolen må endre praksis (demontere videokameraer, sikre elevopplysninger bedre mv). Internkontrollen skal også bidra til at slike enkeltvedtak blir fulgt.
- Tiltakene kan være av et hvert slag, men ofte vil det mest aktuelle være å klargjøre hvem som har ansvar for å påse at reglene følges, hvordan problemer/avvik skal håndteres osv.
- Tiltakene skal være planlagte, dvs det skal på forhånd være fastlagt hvorledes internkontrollen skal skje (og ikke først når det oppstår et særskilt behov).
- Tiltakene skal være systematiske, dvs ikke tilfeldige eller kun styrt av hendelser.
