Passende technische maatregelen zijn beveiligingsmaatregelen die zijn afgestemd op de aard van de gegevens, de risico’s van verwerking en de stand van de techniek. Het gaat om maatregelen die niet absoluut veilig hoeven te zijn, maar aantoonbaar redelijk en doordacht in verhouding tot wat wordt beschermd en wat er mis kan gaan.
In de praktijk betekent dit dat technische keuzes nooit losstaan van context. Encryptie, toegangsbeperkingen, logging, back-ups en patchbeheer gelden vaak als basiselementen, maar ze zijn alleen passend als ze consequent en correct worden toegepast. Een eenvoudige website met beperkte persoonsgegevens vraagt iets anders dan een platform waar structureel gevoelige data wordt verwerkt. Passend is hier geen vast lijstje, maar een afweging die verdedigbaar moet zijn.
Een herkenbaar misverstand is dat “passend” gelijkstaat aan “maximaal”. Dat is niet zo. Passende technische maatregelen laten zien dat er bewust is nagedacht over risico’s, verantwoordelijkheden en onderhoud. Beveiliging is daarmee geen eindpunt, maar een voortdurend beheerde toestand.