Adgange for medarbejdere gives efter arbejdsbetinget behov og kan begrænses på fx datas aktualitet eller alder, datatype (fx om det er kundedata, HR-data, whistleblowerdata), sagstype (fx "Vej & park" eller "familiesager"), osv.
Adgangsrettigheder for borgere/kunder tilpasses, hvad den enkelte person har ret til at tilgå (typisk kun egne og evt. nære relateredes personoplysninger).
Mulighederne afhænger normalt af it-systemernes design, hvorfor disse aspekter tænkes ind på tidspunktet for design eller indkøb af it-systemer.
Hvis der anvendes RPA (Robotic Process Automation) eller lignende, og man i den forbindelse giver adgangsrettigheder til robot-brugere, begrænses deres adgang på samme måde mest muligt. Økonomisk besparelse på robot-brugerlicenser kan friste til at give en robot så mange adgangsrettigheder som muligt, men en robot-bruger, som har mange rettigheder, kan udgøre en højere risiko, hvis fx en hacker får mulighed for at opnå denne robots adgangsrettigheder. Robot-brugeres adgangsrettigheder minimeres også af hensyn til eventuelle fejl i koden/automatikken eller opsætningen. Herved begrænses den potentielle skade, som robot-brugeren kan forårsage.
Se også foranstaltningen Pseudonymisering og anonymisering, som ligeledes begrænser adgangen, men ved at fjerne eller separere data.