Das Dritte der acht Gebote der IT-Sicherheit ist die Zugriffskontrolle. Auch sie ist Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens und sind Bestandteil der Anforderungen an Datenschutz und Datensicherheit.
Im Rahmen der Zugriffskontrolle werden Regeln aufgestellt, die verhindern sollen, dass unberechtigte Personen Zugriff auf Daten erhalten, die sie für die Ausübung ihrer Tätigkeit nicht benötigen.

Getreu dem Need to Know Prinzip sollen lediglich Zugriffe im nötigen Ausmaß ermöglicht werden, die auch tatsächlich benötigt werden

Ein schriftliches Berechtigungskonzept dient nicht nur der Dokumentation, sondern auch der Klarheit und Übersichtlichkeit.

Ob ein Mitarbeiter auf bestimmte Daten zugreifen darf ist der erste Teil der Regelung. Zweitens ist wichtig zu wissen, was er in welchem Umfang mit den Daten überhaupt machen darf. Teilweise genügen für die Ausführung der erforderlichen Tätigkeit Leserechte. Wenn lediglich Informationen benötigt werden, sind Schreib- oder Löschzugriffe nicht nötig.

Nicht nur digitale Daten unterliegen der Zugriffskontrolle. Auch analoge Daten wie beispielsweise Ausdrucke müssen Sie bei der Planung der Zugriffskontrolle berücksichtigen und dem Zugriff von unberechtigten entziehen. Denken Sie an dieser Stelle an die "Clean Desk Policy". Durch diese verhindern Sie, dass Mitarbeiter Unterlagen einsehen könnten obwohl sie dazu keine Berechtigung haben.

Der Datenschutzbeauftragte überprüft die Berechtigungen aus der Zugriffskonrolle regelmäßig im Rahmen seiner Aufgaben.

Das vierte Gebot des Datenschutzes ist die Weitergabekontrolle.