Iedere organisatie werkt met persoonsgegevens. In de Algemene Verordening Gegevensbescherming (AVG) is voorgeschreven wie welke verantwoordelijkheid heeft bij het verzamelen, opslaan, verwerken en toepassen van persoonsgegevens is opgenomen in de AVG. In artikel 4 zijn twee (informatie)rollen benoemd: verwerkingsverantwoordelijke (controller) of verwerker (processor).
In de regels van de AVG zijn in artikel 4 twee (informatie)rollen benoemd: de verwerkingsverantwoordelijke (controller) en de verwerker (processor) van persoonsgegevens. Wanneer een organisatie persoonsgegevens opvraagt of verwerkt, wordt die gezien als de controller, ongeacht of de organisatie zelf direct data verzamelt. Een bank bijvoorbeeld verzamelt data van klanten als ze een rekening openen en is daarmee verantwoordelijk voor de persoonlijke data van deze klanten. Als een leverancier data voor organisaties beheert, opslaat, transporteert of verwerkt, is die partij de processor. De datacentra die de leverancier vervolgens inzet om de gegevens daadwerkelijk op de servers op te slaan, zijn vaak de sub-processor.
In de rol van controller is een organisatie verantwoordelijk voor het verzamelen van de gegevens en voor het krijgen van toestemming van de persoon van wie de gegevens zijn. De controller draagt ook zorg voor het feit dat deze gegevens alleen voor het doel worden verwerkt waarvoor ze zijn verkregen en dat ze adequaat worden beveiligd. Als de persoon over wie de data gaan een verzoek doet om zijn data te verwijderen, moet dat gehonoreerd worden. Verder moet aangegeven zijn bij de verwerker van de gegevens welk niveau van beveiliging vereist is.
De processor is verantwoordelijk voor het fysiek opslaan van de gegevens en de bewaking ervan, zodat derden geen onrechtmatige toegang tot de gegevens kunnen krijgen. Hij zal er ook voor moeten zorgen dat een sub-processor (bijvoorbeeld een datacentrum of softwareleverancier) hieraan voldoet. Ook bij afwijkingen of privacy-incidenten zal hij de controller moeten informeren. Verder handelt hij vorderingen en taps door bevoegde overheidsinstanties (bijvoorbeeld politie, justitie, AIVD, MIVD) af.
Als een organisatie diensten uitbesteedt, moeten de afspraken met alle leveranciers over de omgang met persoonlijke gegevens vastgelegd worden in een verwerkersovereenkomst (tool). Belangrijk om te weten is dat toestemming nodig is van de klant, als die persoonsgegevens door een andere partij worden verwerkt. Het kan voorkomen dat ondanks alle beveiligingsmaatregelen er iets niet in de haak is. In dat geval zal de verwerker (de leverancier) dit merken en zal hij contact opnemen met zijn sub-processors (zijn leveranciers) en met de organisatie om de afwijking te melden. Vervolgens is de controller aan de beurt om eventueel een datalek te melden.