De cloudleverancier moet technische en organisatorische maatregelen treffen die voldoen aan de GDPR/AVG-vereisten om de integriteit, vertrouwelijkheid en beschikbaarheid van persoonsgegevens te waarborgen. Dit omvat onder andere het versleutelen van gegevens tijdens opslag en transport, het bieden van adequate toegangscontrole, het ondersteunen van het recht op gegevenswissing, en het aanbieden van functionaliteiten om datalekken te detecteren, te melden, en te herstellen.