Dar normele nu precizeaza in ce constau aceste masuri, cine si cum le intreprinde. Legea mai spune ca numai personalul autorizat are acces la date. Normele nu stabilesc insa cine si cum autorizeaza personalul.
Legea 298 si normele sale ignora si Directiva Europeana 2006/24/C de la care se revendica. Printre altele, in Directiva se spune ca "Este fundamental ca statele membre sa ia masuri legislative pentru ca datele sa nu fie transmise decat autoritatilor nationale competente... in respectul total al drepturilor fundamentale ale persoanelor implicate". Dar statul roman nu a stabilit masuri legislative de genul celor solicitate de Directiva Europeana.