In einem Berechtigungskonzept wird festgehalten, welche Zugriffsregeln auf Datensätze für die einzelnen Benutzergruppen gelten. Zudem werden hierin alle Prozesse detailliert erläutert, die dessen Umsetzung betreffen, z.B. das Anlegen oder Löschen von Nutzern und deren personenbezogene Daten. Hierzu ist es erforderlich, Rollen und die ihnen zugeordneten Aufgaben und Funktionen zu definieren. Ihnen können Berechtigungen erteilt oder entzogen werden. Die Pflege eines derartigen Berechtigungskonzepts wird empfohlen, zumal es ein Pflichtbestandteil zur ordnungsgemäßen Umsetzung der DSGVO ist und – nicht nur im Zweifelsfall – Auskunft darüber gibt, welche Mitarbeiter Zugriff auf personenbezogene Daten haben.