eduGAIN:ssa loppukäyttäjän tietosuoja ei ole sisäänrakennettua, kuten Hakassa. Sen sijaan IdP ja SP-ylläpitäjät voivat sopia vaikkapa kahdenvälisesti, kuinka henkilötietolain noudattaminen varmistetaan, kun IdP luovuttaa käyttäjän attribuutteja SP:lle. Koska kahdenväliset sopimukset skaalautuvat osapuolten määrän kasvaessa huonosti, on osapuolille laadittu yhteisiä toimintakäytäntöjä.

GÉANT-tietosuojakäytäntö on Tietosuojadirektiivistä johdettu toimintakäytäntö SP:lle, joka sijaitsee EU/ETA-alueella tai Euroopan komission turvalliseksi katsomassa maassa.

  • Service Provider ilmaisee sitoutumisensa tietosuojakäytäntöön
  • Identity Provider päättää, haluaako se luovuttaa henkilötietoja GÉANT-tietosuojakäytäntöön sitoutuneille Service Providereille

GÉANT-projekti on julkaissut keittokirjan, joka helpottaa GÉANT-tietosuojakäytännön käyttämistä

Haka-luottamusverkostossa tietosuojakäytännön edellyttämät konfiguraatiot tehdään Haka-resurssirekisterissä:

  • Service Provider -ylläpitäjä ilmaisee sitoutuvansa tietosuojakäytäntöön
  • Identity Provider -ylläpitäjä ilmaisee haluavansa luovuttaa attribuutteja tietosuojakäytäntöön sitoutuneille Service Providereille
    • Keittokirjassa mainittu IdP:n luovuttama maksimaalinen attribuuttilista konfiguroidaan Haka-resurssirekisterin "Attributes this IdP releases to eduGAIN" -kohdasta.