1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke en de verwerker, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de in artikel 10 bedoelde verwerking van bijzondere categorieën van persoonsgegevens.
2. Ten aanzien van de geautomatiseerde verwerking voorziet elke lidstaat erin dat de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen treft om:
a) te verhinderen dat onbevoegden toegang krijgen tot verwerkingsapparatuur („controle op de toegang tot de apparatuur”);
b) te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen („controle op de gegevensdragers”);
c) te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen („opslagcontrole”);
d) te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”);
e) ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”);
f) ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur („transmissiecontrole”);
g) ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd („invoercontrole”);
h) te verhinderen dat onbevoegden persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”);
i) ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”);
j) ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”).