A privacidade das informações individuais, entre as quais se incluem aquelas referentes ao estado de saúde de cada beneficiário, é preocupação presente nos mais variados setores da sociedade e se expressa em variados diplomas legais, desde o Código Penal Brasileiro, de 1942, até as resoluções do Conselho Federal de Medicina, incluindo diplomas da própria Agência Nacional de Saúde Suplementar.

Por envolver informações que devem ser mantidas sob sigilo, a implantação da Troca de Informações em Saúde Suplementar -TISS - pressupõe a observância de normas já existentes, originárias de órgãos competentes para tal fim.

Entre os procedimentos de segurança recomendados pela ANS para a implantação do TISS, e que portanto, devem ser obrigatoriamente seguidos por quaisquer operadoras e prestadores, estão as normas técnicas estabelecidas na Resolução CFM n.º 1639, de 10 de julho de 2002, e nas resoluções da ANS (RN nº 21, de 12 de dezembro de 2002, e na RDC nº 64, de 10 de abril de 2001 ).
Tais medidas proporcionam as garantias administrativas, técnicas e físicas de proteção ao acesso à informação trocada.

Obriga-se, ainda, para o alcance dos objetivos de segurança e privacidade, a observação, ao menos, dos requisitos do Nível de Garantia de Segurança 1 (NGS-1), descritos no "Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde" (RES), em conformidade com a norma NBR ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação.

Para as entidades que utilizarem webservices como padrão de comunicação é recomendado a utilização do Nível de Garantia de Segurança 1 (NGS-1) e o Nível de Garantia de Segurança 2 (NGS-2).