Om goed aan de meld- en administratieplicht beveiligingsinbreuken te kunnen voldoen zonder dat het de organisatie veel pijn kost, is kritisch inkopen vereist. Het wordt interessant om te zien in hoeverre leveranciers nog weg zullen komen met (de thans gebruikelijke) beperkingen van aansprakelijkheid. Ook het sluiten van adequate verzekeringen is aan te bevelen: bstuurdersaansprakelijkheid wegens het onvoldoende borgen van privacyrisico's behoort per 2016 tot de mogelijkheden.