Toute institution ayant accès aux données personnelles de personnes privées doit désigner un conseiller responsable de la sécurité de l'information, conformément à la réglementation européenne sur la protection de la vie privée et des données personnelles.