For at sikre en kontinuerlig og sikker behandling af persondata, skal der laves nogle politikker. Her vil det være op til den enkelte virksomhed at formulere indholdet og hvor mange områder, man ønsker at have en politik for.
Som udgangspunkt er det mandatory at få udfærdiget en privatlivspolitik og en informationssikkerhedspolitik, samt et dokument til opfyldelse af jeres oplysningspligt.
Privatlivspolitikken er kort sagt en beskrivelse af hvilke persondata der bliver behandlet, hvad formålet er for behandlingen samt med hvilken hjemmel behandlingen foregår. Samtidig oplyses der om data bliver videregivet til andre og i givet fald hvorfor dette sker.
Informationssikkerhedspolitikken er også en IT-politik, der beskriver hvilke forhold der knytter sig til databehandlingen. dette er bla. hvordan kravene er til brug af mail, brug af internet, brug af personligt udstyr etc.
Oplysningspligten er mandatory og skal dermed udføres som noget af det første. Dette er et selvstændigt dokument, hvoraf det fremgår hvilke oplysninger virksomheden indsamler om f.eks. medarbejdere og kunder.