* Erişim kontrolü: Kapsanan kuruluş, erişimin yalnızca yetkili personelle sınırlandırılması, benzersiz kullanıcı kimlikleri ve parolaların zorunlu kılınması ve PHI'ye erişimin denetlenmesi de dahil olmak üzere, PHI'ya erişimi kontrol etmek için politikalar ve prosedürler uygulamalıdır.
* Çevresel kontroller: Kapsam dahilindeki kuruluş, PHI'nin depolandığı fiziksel konumlara erişimin kontrol edilmesi, PHI'nın izinsiz olarak çıkarılmasının veya imha edilmesinin önlenmesi ve uygun sıcaklık ve nem kontrollerinin sürdürülmesi de dahil olmak üzere, PHI'nin güvenli bir ortamda saklanmasını sağlamak için politikalar ve prosedürler uygulamalıdır.
* İmha: Kapsam dahilindeki kuruluş, artık ihtiyaç duyulmayan PHI'nın parçalanması, yakılması veya kağıt hamuru haline getirilmesi de dahil olmak üzere, PHI'nın güvenli bir şekilde imha edilmesini sağlayacak politika ve prosedürler uygulamalıdır.
* İletim güvenliği: Kapsam dahilindeki kuruluş, PHI'yi iletim sırasında yetkisiz erişime karşı korumak için şifreleme veya diğer yöntemlerin kullanılması da dahil olmak üzere, PHI'nın güvenli bir şekilde iletilmesini sağlamak için politikalar ve prosedürler uygulamalıdır.