Innebygd personvern er et sentralt krav i personvernforordningen. Virksomheten, både dataansvarlig og deres leverandører, skal stille krav til og ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Virksomheten skal sørge for at informasjonssystemene oppfyller personvernprinsippene, se kap. 2.2. Dataansvarliges ansvar, og at de ivaretar de registrertes rettigheter.
Dataansvarlig skal velge leverandører som er i stand til å levere tjenester som oppfyller lovbestemte krav og krav i Normen. Leverandører skal bidra til at dataansvarlig som tar i bruk leverandørens produkter og tjenester, kan oppfylle disse kravene. Om nødvendig skal partene gå i dialog for å finne riktige tiltak for å kunne oppfylle kravene.
