Yksi tietosuoja-asetuksen tärkeimmistä periaatteista on henkilötietojen "kuuluminen" rekisteröidyille. Rekisteröity voi milloin tahansa pyytää pääsyä kaikkiin tietoihin, joita rekisterinpitäjä on hänestä kerännyt, ja rekisterinpitäjän on pyyntö toteutettava 30 päivän kuluessa.

Tutkija kontaktoi tässä 83 organisaatioita tekaistulla sähköpostiosoitteella, jonka avulla hän esitti kihlattuaan. Hän kertoi myös voivansa antaa lisätietoja henkilöllisyydestään verkkoportaalin kautta, jonka arvasi monilta kontaktoiduilta organisaatioilta puuttuvan ja sitä myötä vaan kasvattavan ahdistusta pyyntöön vastaamiseksi.

Reagoinnista päätellen moni pieni ja keskisuuri organisaatio on vielä täysin varautumaton tietopyyntöjen vastaanottamiseen; enemmänkin GDPR-hiki nousi pintaan, tietoturvallisuus unohtui ja pyyntö yritettiin käsitellä paniikissa nopeasti. Tärkeää olisi olla selkeät prosessit, joilla ensin pyynnön esittävä henkilö tunnistetaan tarpeeksi uskottavasti ja edetä pyynnön käsittelyyn vasta tämän jälkeen. Joskus voi riittää sopivan sähköpostiosoitteen hallinta, mutta tällöin luovutetaan vain tähän sähköpostiosoitteeseen liittyviä tietoja. Vahvempia ja useampia tunnistamiskeinoja henkilöllisyyden varmistamiseksi (esim. puhelinnumero, pankkitunnistus, muut tunnisteet) ja liittyvien henkilötietojen löytämiseksi pitää tietenkin tarvittaessa käyttää.

Henkilötietojen luvaton luovuttaminen on tietoturvaloukkaus samoin kuin suojaamattoman USB-tikun unohtuminen julkisiin tiloihin tai tietoinen murtautuminen palvelimille.