Etter GDPR artikkel 28 skal behandlingsansvarlig kun bruke «databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter».
Hva «tilstrekkelige garantier» innebærer, er ikke spesielt klart, og en del behandlingsansvarlige har begynt å kreve at databehandlere skal fremlegge en «garanti» i form av et dokument (gjerne med navn «garanti») for at de oppfyller kravene til GDPR og de registrertes rettigheter. Men en slik garanti er ikke det som kreves etter GDPR, og vil ha liten verdi i denne sammenheng (databehandleren kan jo påta seg hva som helst uten at de gir bedre informasjonsikkerhet eller vern av rettigheter…).
Det som kreves etter GDPR her (selv om det kunne med fordel vært bedre formulert) er at behandlingsansvarlig vurderer om databehandleren vil gjennomføre informasjonsikkerhetstiltak og sikrer at behandlingen er iht kravene i GDPR og verner de registrertes rettigheter. Dette må gjøres på grunnlag av informasjon og dokumentasjon fra databehandleren.