Każdy administrator powinien wybrać odpowiednie rozwiązania techniczne i organizacyjne, z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych. Swoboda pozostawiona administratorom powoduje, że nie wszystkie wybrane przez nich rozwiązania są prawidłowe. Niektóre, zamiast zwiększać bezpieczeństwo danych, tylko generują ryzyko ich naruszenia, z kolei inne są tylko niepotrzebnym obciążeniem dla organizacji.