eduGAIN:ssa loppukäyttäjän tietosuoja ei ole sisäänrakennettua, kuten Hakassa. Sen sijaan IdP ja SP-ylläpitäjät voivat sopia vaikkapa kahdenvälisesti, kuinka henkilötietolain noudattaminen varmistetaan, kun IdP luovuttaa käyttäjän attribuutteja SP:lle. Koska kahdenväliset sopimukset skaalautuvat osapuolten määrän kasvaessa huonosti, on laadittu yhteisiä toimintakäytäntöjä, joihin SP:t voivat ilmoittaa sitoutuvansa. IdP:stä vastaava kotiorganisaatio voi sitten käyttää SP:n sitoutumista toimintakäytäntöön perusteena attribuuttien luovuttamiselle.
GÉANT-tietosuojakäytäntö on Tietosuojadirektiivistä johdettu toimintakäytäntö SP:lle, joka sijaitsee EU/ETA-alueella tai Euroopan komission turvalliseksi katsomassa maassa. GÉANT-projektin julkaisema keittokirja auttaa SP-ylläpitäjää GÉANT-tietosuojakäytäntöön sitoutumiseen liittyvissä konkreettisissa askeleissa.