Alle offentlige virksomheter som behandler personopplysninger, må ivareta informasjonssikkerhet i egen virksomhet. Informasjonssikkerhet handler om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Informasjonssikkerhet kan defineres som en funksjon som sikrer at informasjonen er beskyttet mot uønsket innsyn, den er tilgjengelig når den trengs, og at den er beskyttet mot uønskede endringer.

Personopplysninger kommer i mange former. De kan trykkes eller skrives på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonen formidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte. Det er viktig at behandling av personopplysninger skjer i samsvar med reglene om personvern. Lovverket gjelder for alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre. Et hovedprinsipp i General Data Protection Regulation- GDPR (Personopplysningsloven med EUs personvernforordning) er at personopplysninger kun skal behandles der det finnes et tydelig spesifisert formål.  Ifølge Personopplysningsloven § 8 kan behandling av personopplysninger skje “dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål”.

Offentlige arkiv inneholder store mengder personopplysninger som blir håndtert elektronisk.  Dette har konsekvenser for journalføring, skjerming og arkivering av både dokumenter og opplysninger. Dokumentasjon som inneholder personopplysninger, kan ikke uten videre slettes etter Personopplysningsloven dersom det skal bevares etter Arkivloven. 

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer.

Ved behandling av særlige kategorier av personopplysninger (tidligere kalt sensitive personopplysninger) er det strengere krav til behandlingen enn om man behandler andre personopplysninger. Dette er opplysninger som krever ekstra vern, som opplysninger om rasemessig eller etnisk opprinnelse, religion, helseopplysninger, seksuell orientering m.m.

Det er ikke bare Personopplysningsloven og Personvernforordningen som styrer hvordan informasjonssikkerheten i en virksomhet skal håndteres. Det vil også blant annet Offentleglova, Sikkerhetsloven, Beskyttelsesinstruksen og eForvaltningsforskriften.