A GDPR előírja az adatkezelő számára, hogy megfelelő technikai és szervezeti intézkedésekkel biztosítsa a biztonságos adattárolást. Ezeknek az intézkedéseknek a megfelelősége olyan kockázatértékelésen alapul, amely figyelembe veszi a feldolgozás jellegét, terjedelmét, összefüggéseit és céljait, valamint az egyének jogait és szabadságait érintő eltérő valószínűséggel és súlyossággal járó kockázatokat. A biztonság "megfelelő" szintjét a technika jelenlegi állása és a végrehajtás költségei, feldolgozási tevékenységei, valamint az egyének jogaival és szabadságaival való eltérő valószínűséggel és súlyossággal járó kockázatok alapján kell megállapítani.
Példák olyan intézkedésekről, amelyek a kockázat szintjétől függően megfelelőek lehetnek:
- a személyes adatok álnevesítése és titkosítása;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása;
- fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, felmérésére és értékelésére szolgáló eljárás