De GRC Foundation hanteert strikte richtlijnen voor registratie, dat betekent dat een organisatie een aanvraag doet voor registratie, ten aanzien van deze registratie wordt
geverifieerd of de
ISAE 3402 rapportage door een in Nederland erkende accountant of EDP auditor is gecontroleerd. De GRC verricht geen inhoudelijke controles op deze rapportages
en geeft ook geen oordeel over de kwaliteit, danwel inhoud van de rapportage. Alle bij de GRC foundation geregistreerde rapportages worden strikt vertrouwelijk behandeld en
gearchiveerd in overeenstemming met de General Data Protection Regulation (GDPR) van de Europese Unie.