Elke verwerkingsverantwoordelijke en verwerker heeft een beschermingsplicht voor de persoonsgebonden data die zij (laten) verwerken. De te nemen (of genomen) technische én organisatorische maatregelen moeten beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.