Foranstaltninger er tiltag, der bevarer og/eller ændrer en risiko. En foranstaltning kan være forebyggende, opdagende, korrigerende eller en kombination af disse. Det er nærmere forklaret i beskrivelsen af hver foranstaltning.
Tekniske foranstaltninger med relevans for rettighedsstyring er fx it-løsninger til brugeradministrering, automatisk kryptering/sletning, automatisk adgangskontrol (log-in), registrering af anvendelser af personoplysninger (logning), fysiske døre og låse.
Organisatoriske foranstaltninger med relevans for rettighedsstyring er fx sikkerhedspolitikker, procedure for jævnlig kontrol af adgangsrettigheder, procedure for inddragelse af adgangsrettigheder ved fritstilling og fratrædelse, opgavefordeling efter kompetencer, uddannelse i korrekt anvendelse af it-løsninger (altså kompetencer), vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.
I standarder og lærebøger kan foranstaltninger være opdelt i yderligere kategorier, fx "fysiske", "personrelaterede" eller "adfærdsmæssige". Imidlertid beskriver databeskyttelsesforordningen kun kategorierne "tekniske" og "organisatoriske", så eksemplerne herover dækker det hele. Når der står fx "fysiske låse" kan dette betegnes som en fysisk foranstaltning, men også som endnu en teknisk foranstaltning. Uddannelse kan betegnes som en personrelateret eller adfærdsmæssig foranstaltning, men også som endnu en organisatorisk foranstaltning.
Det er ikke afgørende, i hvilken kategori man kan placere en foranstaltning. Det afgørende er, at der er etableret tilstrækkelige foranstaltninger til at sikre et sikkerhedsniveau, som kan beskytte behandlinger af personoplysninger – og forretningen.
For at en firewall skal have en beskyttende effekt, skal der mere til, end indkøb og installation af en software- eller hardware-firewall. En firewall skal opsættes, administreres og holdes opdateret på korrekt vis, og dertil kommer, at en organisation typisk vil have en fordel af flere firewalls, der administreres forskelligt. En foranstaltning, der beskrives som ”Firewall”, vil dermed reelt bestå af mange tiltag – ofte en blanding af noget teknisk og noget organisatorisk. Disse tiltag kunne hver især beskrives som selvstændige foranstaltninger, men for at undgå forvirring kaldes de ”tiltag” i dette katalog.