Bendrajame duomenų apsaugos reglamente 39 straipsnyje nurodoma, kad “Duomenų apsaugos pareigūnas, vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.” Tinkamai vertinti tokio pobūdžio informaciją ekspertinių teisės žinių nepakanka, o kreipiantis į informacinių technologijų ekspertinių žinių turinčius darbuotojus dažnai gali kilti interesų konfliktas, apibūdintas Direktyvos 95/46/EB 29 straipsnio darbo grupės parengtose gairėse Reglamento (ES) 2016/679 duomenų apsaugos pareigūno tema.
Vertindamas įmonės asmens duomenų tvarkymui kylantį pavojų Pareigūnas visų pirma turi skirti dėmesį labiausiai pažeidžiamoms informacinėms sistemoms ir turėti pakankamą kvalifikaciją tinkamai vertinti pavojų. Pavyzdžiui turinio valdymo sistema WordPress yra viena iš populiariausių nemokamų interneto svetainių turinio valdymo programinių įrangų pasaulyje. Jos populiarumas sąlygoja didelį kibernetinių įsilaužėlių dėmesį saugumo spragų paieškai ir pažeidžiamumo išnaudojimui. 2017 metų sausį nustatyta kritinė WordPress saugumo spraga leidžianti neteisėtai redaguoti svetainių turinį ar užkrėsti svetainę piktybine programine įranga, o naujausia 2018 metų vasarį aptikta Wordpress TVS saugumo spraga WordPress CVE-2018-6389 Denial of Service Vulnerability suteikia piktavaliams galimybę sutrikdyti svetainės veiklą net naujausiose WordPress versijose. Nacionalinio standartų ir technologijų instituto (NIST) Informacinių technologijų laboratorija nurodo aukštą pažeidžiamumo išnaudojimo ir pavojingumo lygį (CVSS Severity (version 3.0) – 7,5), todėl rekomenduojama kuo skubiau atnaujinti TVS programinę įrangą.
Tinkamas kibernetinių grėsmių asmens duomenims įvertinimas, kompensuojamų ir incidentų valdymo veiklos priemonių rekomendavimas padės laiku užkirsti kelią neteisėtai prieigai prie asmens duomenų.