De GDPR legt verwerkingsverantwoordelijken de verantwoordelijkheid en de verplichting op om hun (computer) systemen en procedures zodanig te ontwikkelen dat zij rekening houden met de bescherming van persoonsgegevens.

Deze verplichting geldt voor alle verwerkingsverantwoordelijken ongeacht de complexiteit van hun verwerkingen en hun omvang.

Het maakt dus niet uit of men een grote multinational is of een KMO, de basisprincipes inzake het verwerken van persoonsgegevens dienen te worden nageleefd.

Aangezien deze maatregel ook van toepassing is op verwerkers en sub-verwerkers, moeten verwerkingsverantwoordelijken bij het aanstellen van verwerkers en sub-verwerkers ook van hen de nodige garanties krijgen dat zij hieraan voldoen.

Data Protection by Design en by Default kadert in de verplichting die op verwerkingsverantwoordelijken rust om passende technische en organisatorische maatregelen te nemen met als doel persoonsgegevens te beschermen.