Dataansvarlige og databehandlere skal gennemføre passende sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene ved behandlingen af personoplysninger. Det følger af databeskyttelsesforordningens artikel 32.
Bestemmelsen fastsætter ikke, hvilke præcise sikkerhedsforanstaltninger der skal træffes. Bestemmelsen fastslår imidlertid, at dataansvarlige og databehandlere er ansvarlige for at beskytte personoplysninger mod, at der sker brud på persondatasikkerheden. Det skyldes, at det kan påføre de berørte personer skade, hvis oplysningernes fortrolighed, tilgængelighed eller integritet kompromitteres.
Dataansvarlige og databehandlere skal derfor afdække de risici, som behandlingen af personoplysninger indebærer for de berørte personer – de skal med andre ord lave en såkaldt risikovurdering. Her er det væsentligt at understrege, at der ikke er tale om risikoen for organisationens omsætning/indtjening, men om risikoen for de berørte personer, dvs. dem der behandles oplysninger om. På den baggrund skal dataansvarlige og databehandlere udvælge og fastsætte de sikkerhedsforanstaltninger, der i tilstrækkelig grad beskytter personoplysningerne.
Det indebærer, at hvad der er passende sikkerhedsforanstaltninger for én dataansvarlig/én databehandler, ikke nødvendigvis er passende sikkerhedsforanstaltninger for en anden.
Det betyder også, at de sikkerhedsforanstaltninger, der fremgår af denne samling af forslag ikke er udtømmende, ligesom ikke alle forslag vil være relevante eller tilstrækkelige for alle situationer, hvor organisationen behandler personoplysninger. Generelt kan det dog siges, at kravene til behandlingssikkerhed – og dermed også til sikkerhedsforanstaltninger – skærpes, jo højere risikoen er for de personer, hvis oplysninger organisationen har ansvaret for.
Hvis der sker brud på behandlingssikkerheden selvom organisationen har gennemført sikkerhedsforanstaltninger, skal dataansvarlige og databehandlere på ny vurdere, om der er behov for at tilpasse og eventuelt skærpe sikkerhedsforanstaltningerne for at undgå lignende brud i fremtiden.