I doveri organizzativi in ​​materia di privacy e sicurezza dei dati si estendono non solo ai dati in possesso di una società, ma anche ai suoi dati in possesso di un fornitore di servizi di terze parti o di un partner commerciale. L’elaborazione di informazioni a terzi o la condivisione di dati con i partner commerciali non solleva un’organizzazione dei suoi obblighi di privacy e sicurezza.  Pertanto, le imprese devono esaminare le misure di sicurezza dei fornitori esterni con cui contraggono per rispondere alle violazioni. Nell’esaminare gli incidenti relativi alla protezione dei dati, si riscontra che gli incidenti di rete che sono riusciti a causa di errori del fornitore, sono stati significativamente più comuni rispetto a quelli causati da errori dei dipendenti della stessa azienda (fonte: BakerHostetler). Pertanto la gestione dei fornitori è una importante variabile da valutare per ridurre al minimo i rischi di violazioni di privacy e sulla sicurezza dei dati.