Al eerder werd het gebruik van een privacyverklaring, toestemmingsformulieren, verwerkingsregister en datalekregister aangeraden. Daarnaast is het ook wenselijk om de volgende documenten op te stellen:

• Procedure voor datalekken, in het kader van bewustwording onder medewerkers;
• Protocollen en gedragsregels voor medewerkers, in het kader van afspraken met medewerkers, bijvoorbeeld over het gebruik van geleende devices;
• Protocollen en gedragsregels voor leerlingen, in het kader van bewustwording van leerlingen bijvoorbeeld door het gebruik van social media;
• Geheimhoudingsverklaringen, voor interne of externe medewerkers die te maken krijgen met privacygevoelige data;
• Beleid rondom het gebruik van cameratoezicht, in het kader van zowel de verantwoordings- als informatieplicht.
• Autorisatiematrixen t.a.v. toegang tot persoonsgegevens in grote systemen, zoals LAS/LVS, HR-applicatie, financiële applicatie.
• Document met daarin welke bewaartermijnen voor de school gelden (en zorg jaarlijks voor een moment waarin de opgeslagen gegevens worden opgeschoond).