Jeder Leistungserbringer sollte dazu verpflichtet werden, mindestens ein klar definiertes System von Zugriffs- und Nutzungsrechten zu erstellen. Idealerweise wird dieses Rechtemanagement mit „log + control“-Prozessen sowie einer permanenten Überwachung der Datenflüsse ergänzt. Ungewöhnliche oder nicht autorisierte Zugriffe auf Daten müssen Alarm auslösen und gemeldet werden.