Das Verarbeitungsverzeichnis (Records of Processing Activities) ist nach Art. 30 DSGVO für jedes Unternehmen Pflicht, das personenbezogene Daten verarbeitet. Es dokumentiert alle Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Kategorien betroffener Personen, Empfängern und Löschfristen. Im ISMS überschneidet sich das Verarbeitungsverzeichnis mit dem Asset-Register und dem Datenklassifizierungsschema. Eine integrierte Pflege beider Verzeichnisse spart Aufwand und stellt Konsistenz sicher. Aufsichtsbehörden können das Verarbeitungsverzeichnis jederzeit anfordern.