Zo stelt bijvoorbeeld artikel 11 onder andere dat persoonsgegevens alleen verwerkt mogen worden voor het doel waarvoor zij verzameld of verwerkt worden én dat er niet meer gegevens dan strikt noodzakelijk verzameld en gebruikt mogen worden.
Artikel 13 uit de Wbp stelt onder meer dat de verantwoordelijke passende technische en organisatorische maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige gebruik én dat deze maatregelen erop gericht moeten zijn onnodige verzameling en verder gebruik van persoonsgegevens te voorkomen.
Daarnaast is het van belang een systeem in het kader van Privacy by Design zo in te richten dat ook aan andere eisen uit de Wbp wordt voldaan.
Of een systeem nu daadwerkelijk 'privacyproof' is, heeft het CBP een aantal documenten opgesteld waarmee getoetst kan worden in welke mate de bescherming van persoonsgegevens in een organisatie verankerd is en daarmee wordt voldaan aan alle wettelijke eisen.