In de Wet bescherming persoonsgegevens is vastgelegd hoe organisaties met persoonsgegevens moeten omgaan. Welke gegevens mogen ze verwerken en hoe moeten ze de gegevensverwerking beveiligen? Het antwoord op dat soort vragen staat in de Wbp. Het uitgangspunt binnen de Wbp is: minimale inbreuk op de privacy door minimaal gebruik van persoonlijke gegevens. Dat betekent dat: 1 alleen die persoonsgegevens worden gebruikt die noodzakelijk zijn 2. voor een vooraf bepaald en 3 duidelijk omschreven doel. Op het gebruik van persoonsgegevens rust een meldplicht. Voordat een verzekeraar persoonsgegevens gaat verzamelen en gebruiken, moet hij daar melding van maken bij de toezichthouder: de Autoriteit Persoonsgegevens.