Apteekit ostavat tänä päivänä yhä enenevissä määrin palveluita ulkoisilta toimijoilta ja vastaavat siten myös siitä, että nämäkin palvelut täyttävät apteekeilta vaadittua korkean tietoturvan tasoa.
Oman alihankintaketjun hahmottaminen on apteekille ensiarvoisen tärkeää. Apteekin olisi hyvä luoda lista omista alihankkijoistaan eli palveluntarjoajistaan tai tilatuista tuotteista: se selkeyttää kokonaiskuvaa siitä, keneltä kaikilta eri toimijoilta apteekki tilaa mitäkin palvelua tai järjestelmää.
Tilattaessa palvelua tai järjestelmää on myös syytä huomioida, että sen toimittaja voi olla vain ”välikäsi”, joka tilaa itse palvelua seuraavalta ketjussa olevalta palveluntarjoajalta – ja toimittajien ketju voikin olla pitkä. On hyvä selvittää koko toimittajaketju jo sopimusvaiheessa.
Apteekin on hyvä ymmärtää alihankkijan, eli kumppanin tai palveluntarjoajan, tietoturvan taso. Asiakas-toimittajasuhteessa apteekilla on asiakkaana oikeus vaatia toimittajalta tietoturvaa, niin yrityksen kuin tilattavan palvelun tai järjestelmänkin osalta. Jos ja kun ympäristöstä löytyy haavoittuvuus, on tärkeää ymmärtää, että sen haavoittuvuuden ei tarvitse löytyä apteekista – murtautuminen voi tapahtua apteekin palveluiden yhteydessä käytettävän erillisen palvelun kautta.