Gegevensbescherming door ontwerp en door standaardinstellingen, zoals in artikel 25 van de AVG wordt bedoeld, (hierna aangegeven met DPbDD) zet uitdrukkelijk de beginselen van gegevensbescherming en de rechten en vrijheden van individu (de betrokkene) centraal. Voor de bedrijfsleiding en management begint DPbDD met het begrijpen van de gegevensbeschermingsbeginselen die veelal door de Functionaris voor Gegevensbescherming worden uitgelegd.
De te treffen maatregelen zijn passend en borgen de doeltreffendheid van de beginselen van gegevensbescherming en zo de rechten en vrijheden van individuen. Niets staat de leiding in de weg dergelijke maatregelen ook toe te passen voor het beschermen van bedrijfsgegevens.
In het veranderings-, ontwerp-, aankoop- en/of ontwikkelproces voor het organiseren van bedrijfsactiviteiten krijgen de gegevensbeschermingsbeginselen al vroegtijdig aandacht. Als de beginselen fundamenteel in de organisatie en bedrijfsprocessen zijn verankerd dan is het ook mogelijk dat de bedrijfshuishouding kan voldoen aan het verantwoordingsvereiste; de bedrijfsleiding spreekt zich uit over de effectiviteit van de getroffen beheersmaatregelen gericht op wettelijke en contractuele verplichtingen, in het bijzonder gegevensbescherming.
DPbDD heeft betrekking op het gehele verantwoordelijkheids- en aansprakelijkheidsdomein van het bedrijf. Het betreffen de holding en de dochtermaatschappijen plus de verwerkers en verdere verwerkers van persoonsgegevens van de groep. Het is niet verwonderlijk dat de wetgever certificering en gedragscodes aan de verwerkingsverantwoordelijke aanbeveelt om een werkbare en effectieve structuur samen te stellen.