Ook dit is een uitwerking van de verhoogde norm voor informatieveiligheid. Helaas kun je het blijkbaar niet afdwingen met gezond verstand maar moet er een extra sanctie voor bedacht worden om het te handhaven.
Met goed toegangsbeleid en autorisatieprofielen zou dit geen issue hoeven te zijn. Er kunnen voor noodgevallen altijd ‘breaking glass’ constructies gemaakt worden die bij gebruik gelogd worden zodat duidelijk is waarom er op dat moment toegang verleend moest worden aan die specifieke informatie.