Rodzaje zakupu w firmie IT jest bardzo ograniczone: komputery, urządzenia peryferyjne, nośniki pamięci masowej, książki.... Nie jest to dużym problem, jeśli kupuje się  uszkodzony CD-ROMy lub wkład do drukarki, po prostu wymienia się je na nowe i nie powodują one  żadnego zagrożenia dla pacjenta. Jednak w ISO 13485 kontrola zakupu jest obowiązkowa, aby zagwarantować, że zakupione wyroby są dobrej jakości i nie będą powodować niebezpiecznej sytuacji dla potencjalnego użytkownika wyrobu gotowego. Tak więc firma IT musi kontrolować swoje zakupy i swoich dostawców, nawet jeśli zakupione wyroby nie mają żadnego wpływu na produkt końcowy.
Kontrola zakupów jest jednak nadal pomocna, zwłaszcza w przypadku dokumentów papierowych dostarczanych wraz z oprogramowaniem. Zakupy pozostają jednak bardzo niewielkim źródłem ryzyka w porównaniu z firmą, która kupuje np. sterylne przedmioty.