En bruges adgang til data i et it-system kan lede til sikkerhedsbrud gennem bevidst misbrug eller gennem fejlhåndtering. En læseadgang giver fx mulighed for tab af datas fortrolighed, ved at data kopieres og sendes til uvedkommende. En trussel mod datas integritet kræver adgangsrettigheder, der gør det muligt for brugeren at tilføje, ændre eller slette data. Ved at begrænse adgangsrettighederne til det arbejdsbetingede behov (fx læseadgang uden skriveadgang), mindskes mulighederne for fejl og misbrug. Der er altså tale om en forebyggende foranstaltning, som kan mindske konsekvensen, hvis truslerne "utilsigtet fejlhåndtering af data" eller "ondsindet misbrug af data" realiseres.

Adgangsrettigheder tilrettes et arbejdsbetinget behov, og begrænses i fx muligheden for at læse, tilføje, søge, ændre, udtrække eller slette data.

Hvis der anvendes RPA (Robotic Process Automation) eller lignende, og man i den forbindelse giver adgangsrettigheder til robot-brugere, skal deres adgang på samme måde begrænses mest muligt. Økonomisk besparelse på robot-brugerlicenser kan friste til at give en robot så mange adgangsrettigheder som muligt, men en robot-bruger, som har mange rettigheder, kan udgøre en højere risiko, hvis fx en hacker får mulighed for at opnå denne robots adgangsrettigheder. Ved at minimere Robot-brugeres adgangsrettigheder begrænses også den potentielle skade, som robot-brugeren kan gøre i tilfælde af fejl i koden/automatikken.

Mulighederne for at begrænse adgangsrettigheder afhænger normalt af it-systemernes design, hvorfor disse aspekter skal være tænkt ind på tidspunktet for design eller indkøb af it-systemer.

Visse typer af adgangsrettigheder kan være koblet til lovkrav, fx skal rettigheden til at kunne slette ses i sammenhæng med lov om offentlig forvaltning eller regnskabsloven, som specificerer, hvornår visse data må slettes. Denne foranstaltning skal derfor ses i sammenhæng med foranstaltningen Sammenhæng mellem brugerkompetencer, adgangsrettigheder og opgaver.

Artikel 5, stk. 1, litra f, handler om personoplysningers integritet og fortrolighed. Jo mindre den enkelte bruger kan gøre med de data, som brugeren har adgang til, desto mindre er den potentielle konsekvens, hvis nogle af disse brugere gør skade på data via utilsigtede eller ondsindede handlinger. Samtidig har dette også en beskyttende effekt ift. cybertrusler, idet en hacker ofte opererer igennem adgangsrettigheder i kompromitterede bruger-konti, og færre rettigheder giver dermed hackeren færre muligheder. Derfor skal adgangsrettigheder begrænses mest muligt.

Artikel 25: Ved erhvervelse af nyt it-system eller udvikling/ændring i eksisterende it-system skal databeskyttelse være tænkt ind i design og standardindstillinger. Muligheden for at begrænse/differentiere adgangsrettigheder til data forudsætter, at muligheden er indbygget i de it-systemer, som styrer adgangen.