Dit zijn de dingen die elke organisatie moet doen om te laten zien dat ze goed omgaan met persoonsgegevens. Zo moet elke organisatie een verwerkingsregister bijhouden, en moet het bijgehouden worden als er fout omgegaan is met persoonsgegevens (bijvoorbeeld een datalek). Dit wordt ook verantwoordingsplicht genoemd.