Het documentatievereiste vloeit voort uit het verantwoordingsbeginsel dat is vastgelegd in artikel 24 van de AVG.

In de praktijk neemt deze documentatie voornamelijk de vorm aan van een register van de verwerkingsactiviteiten, maar ook van andere elementen van gegevensbeheer en naleving van de AVG. Deze kunnen omvatten (maar zijn niet beperkt tot):

• interne procedures voor het creëren van een nieuwe verwerking van persoonsgegevens (interne controle, risico- en evenredigheidsbeoordeling, enz.)

• procedure voor het uitvoeren van PIA's

• Opstellen van een schriftelijk en bindend gegevensbeschermingsbeleid waarmee rekening moet worden gehouden en dat moet worden toegepast op nieuwe gegevensverwerking (bijv. naleving van gegevenskwaliteitscriteria, voorafgaande kennisgeving, beveiligingsbeginselen, raadpleging, enz;)

• het in kaart brengen van procedures om ervoor te zorgen dat alle gegevensverwerkingen naar behoren worden geïdentificeerd en dat er een inventaris van deze verwerkingen wordt bijgehouden

• het opzetten van opleidingsprogramma's voor degenen die verantwoordelijk zijn voor het beheer van gegevensverwerking

• het opzetten van procedures voor het beheer van verzoeken om toegang, rectificatie en verwijdering van gegevens en de rechten van betrokkenen ten aanzien van hun gegevens

• het opzetten van een intern klachtenbehandelingsmechanisme

• het ontwikkelen van interne procedures voor het effectief beheren en melden van datalekken

• het uitvoeren van privacyeffectbeoordelingen in bepaalde omstandigheden

• implementatie van en toezicht op verificatieprocedures om ervoor te zorgen dat alle maatregelen niet alleen op papier bestaan, maar ook worden geïmplementeerd en in de praktijk werken (interne of externe audits, enz.).

U kunt hier ook documenten opslaan die nuttig zijn voor het begrijpen van de Verwerking, trainingsnotities en eventuele contracten die betrekking hebben op de Verwerking.