Kişisel sağlık bilgileri de dahil olmak üzere, sağlık bilgilerini işleyen kurumların, yönetim tarafından onaylanmış, yayımlanmış ve tüm çalışanlar ile ilgili harici taraflarla paylaşılmış YAZILI bir bilgi güvenliği politika belgesine sahip olmlaarı gereklidir.