Det finns fyra grundläggande krav i GDPR på vad en konsekvensbedömning ska innehålla:

1. En systematisk beskrivning av den planerade behandlingen och behandlingens syfte.
2. En bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den.
3. En bedömning av riskerna för de registrerades rättigheter och friheter.
4. De åtgärder som planeras för att hantera riskerna och för att visa att GDPR efterlevs.

Därutöver bör en sammantagen bedömning redovisas i konsekvensbedömningen, bland annat om hög risk för enskildas fri och rättigheter kvarstår eller inte efter att kompensatoriska åtgärder planeras.

Dessutom ska man dokumentera att man rådgjort med dataskyddsombudet (om sådan finns) och inhämtat synpunkter från de registrerade eller deras företrädare när det är lämpligt.