Tietosuojavastaava tai tietoturvapäällikkö tai muut asiantuntijat saattavat kuormittua kysymystulvan alle. Moni tietosuojaan ja tietoturvaan liittyvistä kysymyksistä esitetään aivan liian myöhään, jolloin niiden selvittämiseen ei ole riittävästi aikaa. Tällaisia tilanteita saattavat olla uudet projektit, hankinnat ja niihin liittyvät vaatimusmäärittelyt sekä esimerkiksi lainsäädännöllisistä syistä johtuvat muutokset toimintaprosesseissa. Tämän vuoksi on järkevää laatia erilaisia tarkastuslistoja muidenkin työntekijöiden kuin ainoastaan tietosuojavastaavan läpikäytäviksi. Tarkastuslistat avaavat ajatuksia ja mahdolliset huomioimatta jätetyt asiat nousevat esille heti muutosprosessin alussa. Tällöin jää enemmän aikaa varsinaisten ISOJEN ja haastavien kysymysten selvittelyyn.

Erilaisia vaatimusmäärittely/tarkastuslistoja kannattaa pyrkiä itse kokoamaan oman organisaation tarpeet huomioiden. Hyvää materiaali on paljon myös internetissä jaossa. Joskus on kuitenkin tarpeen käyttää ulkopuolista (konsultti)apua. Hyvin laadittuina projektien ja hankintojen (tai miksei esim. perehdytykseen käytettävät) tarkistuslistat öljyävät prosesseja ja tyhjäkäynti vähenee eli toisin sanoen tehokkuus kasvaa.

Tässä esimerkiksi yksi perustarkistuslista, jota voi käyttää apuna projekteissa ja sopimuksissa/hankinnoissa (lista on laadittu yhteistyössä Espoon, Kuopion, Tampereen ja Oulun kaupunkien tietoturva- ja tietosuojayhteistyössä)

Tässä taasen Kyber-Terveys-hankkeessa tuotettua materiaali (sosiaali- ja terveydenhuollon tietoturva- ja tietosuojavaatimuksia ICT-hankinnoissa)

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/sosiaali-ja-terveydenhuollon-hankintojen-tietoturva-ja