1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze richtlijn wordt verricht. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de uitvoering van een passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.