eduGAIN:ssa loppukäyttäjän tietosuoja ei ole sisäänrakennettua, kuten Hakassa. Sen sijaan IdP ja SP-ylläpitäjät voivat sopia vaikkapa kahdenvälisesti, kuinka henkilötietolain noudattaminen varmistetaan, kun IdP luovuttaa käyttäjän attribuutteja SP:lle. Koska kahdenväliset sopimukset skaalautuvat osapuolten määrän kasvaessa huonosti, on osapuolille laadittu yhteisiä toimintakäytäntöjä.
GÉANT-tietosuojakäytäntö on Tietosuojadirektiivistä johdettu toimintakäytäntö SP:lle, joka sijaitsee EU/ETA-alueella tai Euroopan komission turvalliseksi katsomassa maassa.
- Service Provider ilmaisee sitoutumisensa tietosuojakäytäntöön
- Identity Provider päättää, haluaako se luovuttaa henkilötietoja GÉANT-tietosuojakäytäntöön sitoutuneille Service Providereille
- Lisätietoa GÉANT-tietosuojakäytännöstä (pdf)
GÉANT-projekti on julkaissut keittokirjan, joka helpottaa GÉANT-tietosuojakäytännön käyttämistä
Haka-luottamusverkostossa tietosuojakäytännön edellyttämät konfiguraatiot tehdään Haka-resurssirekisterissä:
- Service Provider -ylläpitäjä ilmaisee sitoutuvansa tietosuojakäytäntöön
- Identity Provider -ylläpitäjä ilmaisee haluavansa luovuttaa attribuutteja tietosuojakäytäntöön sitoutuneille Service Providereille
- Keittokirjassa mainittu IdP:n luovuttama maksimaalinen attribuuttilista konfiguroidaan Haka-resurssirekisterin "Attributes this IdP releases to eduGAIN" -kohdasta.