Atbilstoši Fizisko personu datu aizsardzības likuma (turpmāk – FPDAL) 2.panta 9.punktam par personas datu apstrādi ir atbildīgs personas datu apstrādes pārzinis – persona, kura pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un apstrādes līdzekļus. Atbilstoši Ministru kabineta 2014.gada 11.marta noteikumu Nr.134 «Noteikumi par vienoto veselības nozares elektronisko informācijas sistēmu» 2.punktu Veselības informācijas sistēmas (e-veselības sistēmas) pārzinis ir Nacionālais veselības dienests.
FPDAL 25.panta pirmajā daļā ir noteikts pārziņa pienākums lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi. Likumdevējs minimālās drošības prasības, kurām ir jāatbilst Valsts informācijas sistēmai, ir noteicis vairākos normatīvos aktos, piemēram, Ministru kabineta 2015.gada 28.jūlija noteikumos Nr.442 «Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām», un Ministru kabineta 2001.gada 30.janvāra noteikumos Nr.40 «Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības».
Jāņem vērā, ka FPDAL 25.pantā norādītais uzliek pārziņiem pienākumu pašiem pieņemt gala lēmumu attiecībā uz apstrādāto datu aizsardzībai nepieciešamajiem pasākumiem. Pārzinim, izvērtējot piemērojamo drošības pasākumu nepieciešamību, jāņem vērā apstrādāto datu iespējamā ietekme uz datu subjektu, kā arī trešo personu (tai skaitā ļaunprātīgu personu) interese iegūt informāciju, tai skaitā, veicot uzbrukumu sistēmai.
Datu valsts inspekcijas ieskatā e-veselības sistēmā tiek apstrādāti ļoti jūtīgi dati, kuru nonākšana trešo personu rokās varētu radīt ārkārtējas sekas attiecībā uz datu subjektiem, līdz ar to arī pārziņa veiktajiem drošības pasākumiem būtu jābūt atbilstošiem augstākajiem drošības standartiem, vienlaikus precīzu drošības pasākumu noteikšana joprojām ir pārziņa kompetencē. Pastāvot riskam, ka datus varētu iegūt trešās personas, pārzinis var apsvērt datu pseidonimizācijas izmantošanu sistēmā, kas datu noplūdes gadījumā sarežģītu un sadārdzinātu likumpārkāpējiem (personām, kas uzbrukušas sistēmai) datu iegūšanas procesu. Vienlaikus pārzinim būtu jānodrošina tādi drošības pasākumi, lai arī pseidonimizētie dati nenonāktu trešo personu rīcībā.