האחריות תמיד היא על בעל המאגר, אומנם ישנה גם אחריות למחזיק המידע, אך בעל המאגר מחוייב לאבטחתו ולביצוע דרישות החוק.
התקנות מפרטות את אחריות בעל המאגר לבדוק ספקי חוץ ובדיקות אלו לא שונות מבדיקות שנדרשות לבצע באופן פנימי על תשתיות מקומיות שמנהלות מידע רגיש.
העובדה שאנחנו מאחסנים אצל ספק שירותי ענן מכובד ורציני לא מבטיח שהוא עומד בדרישות החוק.
ישנן הגדרות טכניות שאינן תלויות בספק השירות, אלא נובעות מטעות לקוח, לדוגמה:

  • הגדרת חיבור לא מאובטח
  • הגדרת סיסמה פשוטה ללא אימות דו-שלבי
  • לא הוגדר גיבוי למערכת המאוחסנת בענן

בעל המאגר מחוייב לדרוש ולבדוק את הספקים בכדי להבטיח את ההגנה על המידע האישי של לקוחותיו, בכל מקרה של פגיעה או זליגת מידע.
בעל המאגר יהיה זה שישא באחריות ובהשלכות.