Belangrijkste aandachtspunt binnen de gedragscode is de doelbinding: persoonsgegevens die voor bepaalde activiteiten zijn verkregen, mogen binnen eenzelfde instelling voor andere activiteiten worden verwerkt, mits dit niet op gespannen voet staat met het oorspronkelijke doel waarvoor de gegevens verzameld zijn. Zo heeft een verzekeringsmaatschappij bijvoorbeeld in het kader van een ziektekostenverzekering bepaalde medische gegevens van iemand nodig, maar die mag zij niet gebruiken om te beslissen of ze deze persoon vervolgens al dan niet een levensverzekering aanbiedt. Daarnaast gaat de gedragscode ook in op enkele bijzondere onderwerpen, zoals het gebruik van cameratoezicht en het opnemen van telefoongesprekken.
Al in 1995 gaf de Registratiekamer een verklaring van overeenstemming voor de Privacy Gedragscode Banken. In 1998 werd daar een Gedragscode Verwerking Persoonsgegevens Verzekeringsbedrijf aan toegevoegd. Gelet op de toenemende verwevenheid tussen banken en verzekeraars en met het oog op de invoering van de Wet bescherming persoonsgegevens besloten de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars beide bestaande gedragscodes samen te voegen tot één code: de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen.