Behovet afhænger af, hvor komplekst ens it-miljø er. Derfor er det en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante.
Forordningens artikel 25: Ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer skal databeskyttelse være tænkt ind i design og standardindstillinger. Muligheden for at simplificere rettighedstildeling kan afhænge af it-systemernes design.