Al eerder werd het gebruik van een privacyverklaring, toestemmingsformulieren, verwerkingsregister en datalekregister aangeraden. Daarnaast is het ook wenselijk om de volgende documenten op te stellen:
- Procedure voor datalekken, in het kader van bewustwording onder medewerkers;
- Protocollen en gedragsregels voor medewerkers, in het kader van afspraken met medewerkers, bijvoorbeeld over het gebruik van geleende devices;
- Protocollen en gedragsregels voor leerlingen, in het kader van bewustwording van leerlingen bijvoorbeeld door het gebruik van social media;
- Geheimhoudingsverklaringen, voor interne of externe medewerkers die te maken krijgen met privacygevoelige data;
- Beleid rondom het gebruik van cameratoezicht, in het kader van zowel de verantwoordings- als informatieplicht.
- Autorisatiematrixen t.a.v. toegang tot persoonsgegevens in grote systemen, zoals LAS/LVS, HR-applicatie, financiële applicatie.
- Document met daarin welke bewaartermijnen voor de school gelden (en zorg jaarlijks voor een moment waarin de opgeslagen gegevens worden opgeschoond).