- Dokumentasjonskravet gjelder både behandlingsansvarlige (ofte øverste skolemyndighet) og databehandler(e).
- Dokumentasjonen må antas å spille stor rolle ved bedømmelsen av om straffe- eller erstatningsansvar skal gjøres gjeldende, se § 48 og § 49.
- Det er to ting som skal dokumenteres: både selve informasjonssystemet og de sikkerhetstiltakene som er besluttet for dette systemet.
- Informasjonssystem kan for eksempel defineres som "samlingen av menneskelige og maskinelle ressurser samt regler og prosedyrer organisert for å utføre bestemte funksjoner og løse en bestemt oppgave." Det som skal dokumenteres er med andre ord hvilke opplysninger som blir behandlet, hvorledes behandlingen skjer (maskinelt, manuelt), til hvilket formål og hvilke regler som styrer informasjonsbehandlingen.
- Sikkerhetstiltakene som skal dokumenteres er tiltak av teknisk, organisatorisk, rettslig, pedagogisk art (mv) som er igangsatt for å ivareta hensynet til konfidensialitet, opplysningenes integritet og tilgjengelighet.
