Les organitzacions que gestionen dades personals de manera constant haurien de fer-ne almenys una cada dos anys, o sempre que es produeixin canvis significatius en els processos o la normativa.