Organisaties hebben een informatieplicht richting betrokkenen en betrokkenen hebben een aantal rechten waarmee zij inzicht kunnen krijgen in hoe een instelling omgaat met zijn of haar persoonsgegevens en kunnen zij onder voorwaarden rechten uitoefenen om hun gegevens in te zien, te wijzigen, verwijderen of over te dragen. Transparantie over geautomatiseerde individuele besluitvorming waaronder profilering is ook onderdeel van dit domein.
De organisatie heeft een procedure voor de afhandeling van rechten van betrokkenen waarin de technische en organisatorische maatregelen zijn vastgelegd en wie verantwoordelijk is om deze rechten en uitvoering te kunnen brengen.
