Gegevens mogen slechts verwerkt worden voor uitdrukkelijk omschreven doeleinden. Er mogen nooit meer gegevens verwerkt worden dan noodzakelijk voor dat doel en de gegevens moeten juist zijn. Ook mogen de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, en waar mogelijk, in een vorm waarin de betrokkene zo min en zo kort mogelijk kan worden geïdentificeerd. En vanzelfsprekend moeten de gegevens passend beveiligd worden.