Artikel 20 Gegevensbescherming door ontwerp en door standaardinstellingen

De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, welke aan de verwerking zijn verbonden, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf overgaat tot het nemen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals gegevensminimalisatie, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze richtlijn en ter bescherming van de rechten van de betrokkenen.

De lidstaten voorzien erin dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de periode waarin zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens standaard niet zonder de tussenkomst van de natuurlijke persoon voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.