Tietohallinto

1. Tiedon luonti ja vastaanotto:

• Onko tietoaineistojen käsittelyn peruste ja käyttötarkoitus tunnistettu ja määritetty (tiedon keräämisessä ja tallentamisessa pitäisi aina määrittää, mihin sen käsittely perustuu ja mikä on tiedon käsittelyn tarkoitus. Jos tiedon keruuta ei voida perustella tulisi pohdittava onko tiedon käsittely tarpeellista).
• Onko käsiteltävää tietoaineistoa koskevat erityisvaatimukset, kuten henkilötietoihin liittyvät vaatimukset tunnistettu?

2. Tiedon säilytys:

• Säilytetäänkö tietoa siten, että vain ne tahot joilla on oikeutettu pääsy tietoon pääsevät siihen käsiksi? (Käyttöoikeuksin 
• Onko säilytettävälle tiedolle määritetty säilytysaika, jonka päättyessä se joko arkistoidaan tai tuhotaan asianmukaisesti?

3. Tiedon käyttö:

• Ovatko tietoaineiston käyttöoikeudet ja –valtuudet määritetty perustuen henkilön työtehtäviin?
• Käsitelläänkö tietoaineistoa vain sille sovituilla ja hyväksytyillä tietojärjestelmissä, laitteissa ja käsittely-ympäristöissä?

4. Tiedon jakaminen ja siirtäminen

• Voidaanko tietoaineistoa jakaessa, siirtäessä ja luovuttaessa varmistua riittävällä tasolla vastaanottajan identiteetistä? Etenkin huomioitava kun käsitellään arkaluonteista tai salassa pidettävää materiaalia.
• Käytetäänkö tiedon siirrossa asianmukaista salausta (esim. turvapostia, funet filesenderiä, metroarch).
• Onko tietoja luovutettaessa varmistuttu siitä, että tiedon luovuttaminen on lain mukaista ja vastaanottajalla on oikeus sekä osaaminen tietoaineistojen käsittelyyn?