Databeskyttelse gennem design indebærer ifølge forordningen, at den dataansvarlige allerede fra tidspunktet, hvor midlerne for behandlingen fastlægges (f.eks. et nyt IT-system), skal gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på at sikre en effektiv implementering af de grundlæggende databeskyttelsesprincipper, det er f.eks. lovlighed, rimelighed og gennemsigtighed. (se punktet om risikovurdering)
Kort sagt skal den dataansvarlige på forhånd have designet og indrettet sin it-mæssige og organisatoriske forretningsunderstøttelse af behandlinger sådan, at forordningens krav og beskyttelseshensyn varetages som en integreret del i hele behandlingsforløbet.
Eksempler på foranstaltninger, der kan indbygges og udgøre databeskyttelse gennem design kan være: Minimering af persondatabehandlingen, pseudonymisering, kryptering af data i transit eller hvile, sikring af infrastrukturen mod uautoriseret indtrængen.