Hvordan dokumenterer vi avvik internt?

Virksomheten bør dokumentere hva som har skjedd, hvilke personopplysninger som er berørt, hvilke vurderinger som er gjort, hvilke tiltak som er gjennomført, og om Datatilsynet eller de registrerte er varslet. GDPR artikkel 33 nr. 5 krever at virksomheten dokumenterer alle personvernbrudd, også de som ikke meldes til Datatilsynet.