Obecne przepisy wprost wskazują, jakie konkretne środki bezpieczeństwa może zastosować administrator danych lub procesor. Ogólne rozporządzenie o ochronie danych nie zawiera takiego zamkniętego katalogu. Wymaga natomiast, by podmiot przetwarzający dane, najpierw przeprowadził analizę ryzyka i na jej podstawie stwierdził, jakie środki bezpieczeństwa będą skuteczne.