Både sykehuset som utleverer og virksomheten som mottar helse- og personopplysninger, har felles forpliktelse til å sørge for at utleveringen skjer på en sikker måte. Sykehuset vil derfor måtte godkjenne utleveringsformen. Dersom denne skjer elektronisk, må den elektroniske løsningen risikovurderes og godkjennes av begge parter.
Et minimumskrav for elektronisk overføring av helse- og personopplysninger, er at overføringen er kryptert. Det er imidlertid ikke den eneste faktoren som skal vurderes sikkerhetsmessig
Sykehuset forventer derfor at eksterne virksomheter som ønsker helse- og personopplysninger utlevert elektronisk, fremlegger dokumentasjon på risikovurdering.
Det er informasjonssikkerhetsleder i begge virksomheter som kan godkjenne utleveringsformen. Sykehusets aksept av utleveringsløsning er ikke statisk, men forutsetter at leverandør av den elektroniske utleveringsløsningen oppdaterer sikkerheten etterhvert som risikobildet endrer seg.
Det vises forøvrig til Ledelsessystem for informasjonssikkerhet i Helse Sør-Øst og dokumentet i eHåndboka Utlevering av helse- og personopplysninger.