Databeskyttelse gennem design indebærer ifølge forordningen, at den dataansvarlige allerede fra tidspunktet, hvor midlerne for behandlingen fastlægges (f.eks. et nyt IT-system), skal gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på at sikre en effektiv implementering af de grundlæggende databeskyttelsesprincipper, det er f.eks. lovlighed, rimelighed og gennemsigtighed. (se punktet om risikovurdering)

Kort sagt skal den dataansvarlige på forhånd have designet og indrettet sin it-mæssige og organisatoriske forretningsunderstøttelse af behandlinger sådan, at forordningens krav og beskyttelseshensyn varetages som en integreret del i hele behandlingsforløbet.

Eksempler på foranstaltninger, der kan indbygges og udgøre databeskyttelse gennem design kan være: Minimering af persondatabehandlingen, pseudonymisering, kryptering af data i transit eller hvile, sikring af infrastrukturen mod uautoriseret indtrængen.

• Vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger

Når du som dataansvarlig selv udvikler et system, vil databeskyttelse gennem design bl.a. kunne sikres ved at indarbejde teknologier, der fremmer privatlivsbeskyttelse, såkaldte privatlivsfremmende teknologier (Privacy Enhancing Technologies PET’s). Nogle af disse fremgår allerede af forordningens bestemmelse om databeskyttelse gennem design, nemlig dataminimering og pseudonymisering, men der er en mangfoldighed af forskellige PET´s til inspiration og genbrug, f.eks. har det Europæsike Agentur for Netværks- og Informationssikkerhed, ENISA, udgivet både værktøjer til vurdering af front-end, platforme og systemer og i marts 2017 en gennemgang af et modus for anvendelsen af PET´s.