Allereerst geeft de PGO-gebruiker toestemming aan zijn PGO-leverancier om persoonsgegevens te verwerken. Wanneer de gebruiker zorggegevens gaat verzamelen en delen, geeft hij aanvullende toestemming aan de ICT-leverancier van de zorgverlener voor het verzamelen of delen van specifieke informatie. Deze toestemming is alleen geldig voor dat moment en die specifieke gegevensuitwisseling. Bij elke volgende gegevensuitwisseling moet opnieuw om toestemming worden gevraagd. Pas wanneer de gebruiker zelf besluit gegevens te verzamelen krijgt een zorgaanbieder van deze gebruiker toestemming om gegevens te versturen naar zijn PGO. Dit is noodzakelijk, omdat de PGO-leverancier een dienstverlener is die namens de persoon de gegevens bij de zorgverlener verzamelt of met hem deelt. Let op: Voor de toestemming van gegevens is van de zorgverlener geen enkele actie vereist. De toestemming gaat automatisch omdat beschikbaar stellen van gegevens al impliciet is verankerd in de WGBO. Zorgverleners hoeven dus niet nogmaals actief toestemming te geven wanneer patiënten gegevens verzamelen of delen.