Iedere organisatie, dus zowel verantwoordelijken als bewerkers, moet op verzoek van de Autoriteit Persoonsgegevens documenten kunnen tonen waaruit blijkt dat zij voldoet aan de privacy regelgeving. Organisaties moeten dus een privacy-administratie bij gaan houden om de AP op elk moment te kunnen voorzien van informatie over hoe hun organisatie de verwerking van persoonsgegevens heeft geregeld en de veiligheid daarvan heeft geborgd. In het geval je dat niet kunt, riskeer je een aanzienlijke boete.