En kommunes behandlinger av personopplysninger er regulert i personopplysningsloven og helseregisterloven, hvor henholdsvis § 13 og § 16 stiller krav til sikring av personopplysningene. De to bestemmelsene er relativt likelydende.

Forskriften til personopplysningsloven sier at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, Forskrift om personopplysninger. §2-11.

Datatilsynet har gitt ut en veiledning i informasjonssikkerhet for kommuner og fylkeskommer som bla. omhandler hvordan personopplysninger skal lagres, klassifikasjon om hvorvidt personopplysninger er sensitive eller ikke osv.