Outsourcingvirksomheden skal, med forbehold for kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF og senere ændringer hertil, tage hensyn til forskelle i nationale bestemmelser om beskyttelse af data, når der sker outsourcing eller videreoutsourcing af data.
Stk. 2 Outsourcingvirksomheden skal anlægge en risikobaseret tilgang til datalagrings- og databehandlingslokaliteter og informationssikkerhedshensyn, hvis outsourcing involverer behandling eller videregivelse af personoplysninger eller fortrolige data.
Stk. 3 Outsourcingvirksomheden skal, hvor det er relevant, sikre, at den er i stand til at udføre test af it-sikkerheden for at vurdere effektiviteten af foranstaltninger til modvirkning af cyber- og informationsrisici samt kommunikationsteknologiske risici.