Ved anskaffelse av it-systemer, skal kravene som gjelder for innebygd personvern og personvern som standardinnstilling i punkt 6.7 følges.  

Skal det skje bruk av ny teknologi, driftsutsettelse (outsourcing) eller annen bruk av leverandører for behandling av personopplysninger som kan ha betydning for informasjonssikkerheten, så skal det gjennomføres risikovurdering.