Zie II.2.4.

Het informatieveiligheidsbeleid moet alle informatie en informatiesystemen binnen de organisatie de noodzakelijke bescherming bieden en moet voldoen aan alle contractuele en wettelijke vereisten van toepassing voor het Wit-Gele Kruis.

Zowel de ontwikkeling, de implementatie als het handhaven dient te gebeuren door 1 partij.

Voor de opdrachtgever dient er 1 aanspreekpunt (SPOC) te zijn die tevens de rol opneemt van informatieveiligheidsconsulent (IVC) en data protection officer (DPO).