Die Hardware wird auf Herz und Nieren geprüft. Die Prüfung setzt sich aus mehreren Teilen zusammen, die technische, logische und funktionelle Faktoren untersuchen.

Zu den betrachteten Bereichen gehören unter anderem: eingesetzte Software, Kommunikation, Zugriffsarten, Patchmanagement sowie Speicherung der Daten.

Die Software wird analog zu der Hardware überprüft. Neben der Kommunikation und Speicherung der Daten werden auch wichtige Aspekte aus der Gesetzgebung beachtet. Die Konformität mit der Datenschutz-Grundverordnung ist ein wichtiger Teil der Prüfung. Dabei spielen die Grundsätze „Privacy by Default“ (Voreinstellung) und „Privacy by Design“ (technische Gestaltung) eine große Rolle.

Bei einer zentralen Verwaltung der Daten in einer Cloud müssen alle relevanten Aspekte der Datenschutz-Grundverordnung berücksichtigt werden. Während dieser Prüfung liegt der Fokus auf der Verfügbarkeit, Authentizität und Integrität der Daten. Hierbei wird neben der Dokumentation die Cloud hinsichtlich deren Verwundbarkeit in einem Pene-trationstest überprüft.