Lupa tietojen käsittelyyn toisiolain mukaisissa käyttötarkoituksissa perustuu Findatan tai muun toisiolaissa tarkoitetun viranomaisen tekemään viranomaispäätökseen. Päätös on oikeudellisesti sitova ja sisältää lupaehdot sekä tiedot käsiteltävistä tiedoista, käsittelyyn oikeutetuista henkilöistä ja käsittely-ympäristöstä.
Findatan ja muiden tietolupia myöntävien viranomaisten toimintaa valvoo muun muassa oikeusasiamies ja henkilötietojen käsittelyä tietosuojavaltuutettu. Findatalla ja muilla tietolupia myöntävillä viranomaisilla on myös oikeus pyytää lausunto tietosuojavaltuutetulta ennen tietoluvan myöntämistä.
Tietolupien myöntäjien täytyy antaa tietosuojavaltuutetulle kerran vuodessa selvitys sosiaali- ja terveystietojen sekä niiden lokitietojen käsittelystä.
Sosiaali- ja terveysalan valvontavirasto Valvira valvoo tietoturvallisia käyttöympäristöjä.