Ustalenie stosownych uprawnień – kto z czego może korzystać, kto co może przetwarzać – jest jednym z zasadniczych elementów polityki bezpieczeństwa. To żadna nowość, że nie każdemu przysługują jednakowe prawa dysponowania informacjami i najcenniejszymi walorami firmy. Nowością jest to, że w zdigitalizowanym świecie zwiększają się możliwości kontroli dostępu i przybywa narzędzi informatycznych, które do tego służą. Zarządzania tą sferą w przedsiębiorstwie nie warto jednak zaczynać od wyboru narzędzi. Jest ich na rynku już tak dużo i są tak elastyczne, że integrator z pewnością znajdzie rozwiązanie dostosowane do potrzeb klienta.

W pierwszej kolejności należy uporządkować zasoby danych i oszacować ich wartość. Dopiero gdy wiadomo, czym klient dysponuje i co należy w szczególny sposób chronić, jest czas na wybór rozwiązań technicznych. Tylko z pozoru może to być wbrew interesom integratorów i resellerów prowadzących sprzedaż rozwiązań dostępowych. Usługa optymalnego organizowania zasobów informacji i opracowania efektywnych zasad dostępu do nich niejednokrotnie jest bardziej korzystna od sprzedaży urządzeń czy oprogramowania. Tym bardziej że korzystanie z wielu rodzajów danych, np. osobowych czy będących tajemnicą przedsiębiorstwa, podlega ścisłym przepisom.
Dobrym punktem wyjścia do uporządkowania bądź ustalenia na nowo zasad ochrony informacji w firmie klienta bywa wdrożenie wymogów RODO. To też dobra okazja do opracowania reguł dostępu do poszczególnych rodzajów danych przedsiębiorstwa i zasobów o kluczowym znaczeniu dla jego sprawnego funkcjonowania.

Zgodnie z artykułem 5. RODO dane muszą być przetwarzane „w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Przepisy nie precyzują jednak, w jaki sposób i za pomocą jakich narzędzi ma to być realizowane. Wybór rozwiązań pozostaje w gestii administratora danych. Rozporządzenie mówi jedynie o obowiązku zastosowania środków adekwatnych do oszacowanego ryzyka, zdefiniowanych zagrożeń i istniejących uwarunkowań, m.in. dostępnych rozwiązań technicznych.