Bij de inrichting van deze procedures en gedragscodes moet rekening gehouden worden met dataportabiliteit, recht van vergetelheid en de relatie met bewaartermijnen. Belangrijke voorbeelden van dergelijke beleidsdocumenten en procedures zijn de procedure datalekken, beleid en de inrichting van informatiebeveiliging en gedragscodes voor medewerkers. Naast deze procedures is ook awareness van belang; hiervoor bestaan diverse
AVG trainingen waarin de invulling van de privacy principles wordt toegelicht. Organisaties die voldoen aan specifieke criteria moeten ook een Data Protection Impact Assesment (DPIA) verrichten en een Functionaris voor gegevensbescherming (FG) aanstellen.