FPDAL 25.panta pirmajā daļā ir noteikts pārziņa pienākums lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi. Likumdevējs minimālās drošības prasības, kurām ir jāatbilst Valsts informācijas sistēmai, ir noteicis vairākos normatīvos aktos, piemēram, Ministru kabineta 2015.gada 28.jūlija noteikumos Nr.442 «Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām», un Ministru kabineta 2001.gada 30.janvāra noteikumos Nr.40 «Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības».
Jāņem vērā, ka FPDAL 25.pantā norādītais uzliek pārziņiem pienākumu pašiem pieņemt gala lēmumu attiecībā uz apstrādāto datu aizsardzībai nepieciešamajiem pasākumiem. Pārzinim, izvērtējot piemērojamo drošības pasākumu nepieciešamību, jāņem vērā apstrādāto datu iespējamā ietekme uz datu subjektu, kā arī trešo personu (tai skaitā ļaunprātīgu personu) interese iegūt informāciju, tai skaitā, veicot uzbrukumu sistēmai.
Datu valsts inspekcijas ieskatā e-veselības sistēmā tiek apstrādāti ļoti jūtīgi dati, kuru nonākšana trešo personu rokās varētu radīt ārkārtējas sekas attiecībā uz datu subjektiem, līdz ar to arī pārziņa veiktajiem drošības pasākumiem būtu jābūt atbilstošiem augstākajiem drošības standartiem, vienlaikus precīzu drošības pasākumu noteikšana joprojām ir pārziņa kompetencē. Pastāvot riskam, ka datus varētu iegūt trešās personas, pārzinis var apsvērt datu pseidonimizācijas izmantošanu sistēmā, kas datu noplūdes gadījumā sarežģītu un sadārdzinātu likumpārkāpējiem (personām, kas uzbrukušas sistēmai) datu iegūšanas procesu. Vienlaikus pārzinim būtu jānodrošina tādi drošības pasākumi, lai arī pseidonimizētie dati nenonāktu trešo personu rīcībā.
