El reglamento establece que debe existir una relacion actualizada de usuarios (o perfiles) y los accesos que tienen autorizados estableciendo mecanismos para evitar el acceso a aquellas zonas no autorizadas. Los usuarios sólo pueden acceder a los recursos que necesitan para poder desarrollar sus funciones (principio de mínimo privilegio).

Nota: Entre las funciones del personal , si fuera necesario se deberá delegar en alguien autorizado el poder conceder, alterar, y anular el acceso a los recuros. Recordar siempre sólo el personal autorizado en el correspondiente documento podrá acceder a los recursos lógicos y físicos (incluso a las instanaciones) y que todo lo indicado aquí es de aplicación tanto para el personal del responsable como el personal ajeno a este.
Para una eficiente implementación de mecanismos de control de acceso, en casos automatizados sería recomendable (y obligatorio en caso de datos especialmente sensibles) el activar logs tanto de sistemas operativos como de aplicaciones que guarden los accesos (usuario, fecha y hora, recurso accedido, acceso autorizado o no, etc) y en los casos no automatizados el llevar algún registro en especial para aquellos realizados por personas no autorizadas. Todo esto debe quedar a disposición del responsable de seguridad para su supervisión.