La norma definisce un framework architetturale di alto livello che:
- specifica le criticità dei sistemi ICT che trattano dati personali;
- elenca i componenti per l'attuazione di tali sistemi; e
- fornisce punti di vista architetturali contestualizzando tali componenti.
Il presente documento è applicabile a entità coinvolte nella specifica, nell'acquisizione, nella concezione, nella progettazione, nella verifica, nella manutenzione, nella gestione e nell'impiego di sistemi ICT che trattano dati personali.
Si focalizza principalmente sui sistemi ICT che sono progettati per interagire con gli interessati.