GDPR wymaga od przedsiębiorstw zrozumienia kontekstu aktualnego stanu wiedzy technicznej w odniesieniu do swojej działalności oraz określenia poziomu ochrony, której będą w związku z tym potrzebować. W przypadku postępowania prowadzonego przez organ nadzoru w sprawie naruszenia bezpieczeństwa danych, przedsiębiorstwo będzie musiało wykazać zastosowanie szeregu procesów i technologii, które są adekwatne do ryzyk przetwarzania danych oraz aktualnego stanu wiedzy technicznej.
Reguły i procesy dostępu do danych i ich przetwarzania mogą zostać wypracowane wewnątrz przedsiębiorstwa, samodzielnie lub przy pomocy wyspecjalizowanych firm doradczych. Od strony technologii zabezpieczeń istnieją już na rynku gotowe, bardzo skuteczne rozwiązania, które można szybko dostosować do posiadanej w przedsiębiorstwie infrastruktury. Zastosowanie tej infrastruktury umożliwia szybsze dostosowanie się do nowych wymagań wynikających z GDPR.
Zwykle najwięcej danych przechowywanych jest w różnego rodzaju bazach danych, które najczęściej padają ofiarą ataków, zarówno hakerów, lecz również nieuczciwych pracowników. Na rynku istnieją systemy zabezpieczeń baz danych, które automatyzują procesy kontroli i natychmiastowo identyfikują ataki, działania niepożądane oraz wszelkie nadużycia.
Monitorowanie i kontrolowanie w czasie rzeczywistym wszystkich operacji wykonywanych na bazach jest cennym źródłem informacji o wykorzystaniu bazy. Pozwala ustalić kto i kiedy miał dostęp do konkretnych baz i jakie dane pobrał. Nowoczesne systemy do ochrony baz danych umożliwiają wykrycie wszelkich anomalii i na ich podstawie jednoznaczne stwierdzić, czy doszło do naruszenia danych. Działanie systemów w czasie rzeczywistym pozwoli natomiast administratorom wypełnić obowiązek zgłoszenia takiego incydentu w ciągu 72 godzin.
Brak rozwiązań monitorujących bazy danych przedsiębiorstwa bardzo utrudnia, a czasem wręcz uniemożliwia odnalezienie incydentu naruszenia bezpieczeństwa oraz wskazanie jego przyczyn i osób odpowiedzialnych.
