Het toekennen van risicoklasse aan een gegevensverwerking is niet verplicht.
Echter kan het een goed hulpmiddel zijn om risico's in te schatten en de passende beveiligingsmaatregelen te bepalen.
In de praktijk worden vaak 4 risicoklassen gebruikt:
Risicoklasse 0
Openbare persoonsgegevens.
Risicoklasse I
Standaard persoonsgegevens.
Risicoklasse II
Gevoelige persoonsgegevens.
Risicoklasse III
Bijzondere categorieën persoonsgegevens.
Hoe hoger de risicoklasse hoe hoger de beveiliging dient te zijn.