Certifikace poskytuje objektivní posouzení, že procesy a technologie splňují požadavky ochrany údajů. Zvyšuje důvěru uživatelů i partnerů a může zjednodušit dohled. Nejde o „imunitu“ – organizace stále nese odpovědnost za incidenty a práva subjektů. Certifikace má mít jasný rozsah (služba, proces, systém) a pravidelné obnovy. V IT se hodnotí mj. řízení přístupů, šifrování, logování a správa dodavatelů. Ve veřejné správě pomáhá sjednotit kvalitu u sdílených služeb. Dokumentace musí být pravdivá a žitá, jinak audit rychle odhalí rozdíly. Chybí-li průběžného zlepšování ztrácí certifikát smysl.
