Die "Sicherheit der Verarbeitung", die bis zum 24. Mai 2018 im NDSG unter § 7 (Technische und organisatorische Maßnahmen) erfasst wurde, wird in der EU-DSGVO in Art. 5 und insbesondere in Art. 32 normiert. Danach haben der Verantwortliche und ggf. der Auftragsverarbeiter - "unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen" - geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen unter anderem Folgendes ein:
Die EU-DSGVO misst zwar einerseits diesen technischen und organisatorischen Maßnahmen (TOMs) zur Gewährleistung des Schutzes personenbezogener Daten einen sehr großen Stellenwert zu, benennt jedoch andererseits kaum konkrete Maßnahmen, nach denen das geforderte hohe Schutzniveau erreicht werden kann. Auch das novellierte Niedersächsische Datenschutzgesetz benennt kaum ergänzende konkrete Maßnahmen. Zur Orientierung können jedoch die in § 64 des BDSG genannten Maßnahmen herangezogen werden. Zudem sind bei der Entwicklung von IT-Systemen neben der Einbindung des Datenschutzbeauftragten auch die Grundsätze "Privacy by Design" (Datenschutz durch Technik) und "Privacy by Default" (datenschutzfreundliche Voreinstellungen) zwingend einzuhalten (s. Art. 25 EU-DSGVO).