Organisaties die persoonsgegevens (laten) verwerken, moeten zorgen dat de beveiliging optimaal in orde is. Veel organisaties besteden werkzaamheden uit, bijvoorbeeld aan een Arbodienst of een salariskantoor, waardoor ook persoonsgegevens worden gedeeld. Ze moeten er op letten, dat de opdrachtnemers zorgvuldig omgaan met die persoonsgegevens.

De opdrachtgever is verantwoordelijk voor de juiste verwerking van persoonsgegevens en moet de opdrachtnemer (de Verwerker) beveiligingsnormen opleggen en die eventueel ook geregeld controleren met een audit. De beveiligingsmaatregelen moeten ‘passend’ zijn en meegroeien met technische vooruitgang.

Passend bij stand van de techniek
De verwerker van de persoonsgegevens moet passende technische en organisatorische beveiligingsmaatregelen nemen. Het beveiligingsniveau moet aansluiten bij de huidige stand van de techniek en de aard van de te verwerken persoonsgegevens.