Ggz-aanbieders zijn – als verwerkingsverantwoordelijken – op grond van de AVG verplicht om betrokkenen (dat kunnen patiënten zijn, maar ook medewerkers van de zorgorganisaties) schriftelijk te informeren over wat er met hun persoonsgegevens gebeurt en waarom. Dat kan door een privacyverklaring te hanteren. Dit is een extern document dat vaak wordt gepubliceerd op de website. De AVG benoemt welke onderwerpen in de privacyverklaring moeten worden opgenomen, zoals de rechten van betrokkenen, de bewaartermijnen en informatie over hoe er een klacht kan worden ingediend.

Privacybeleid is een intern document waarin staat hoe een zorgaanbieder voldoet aan de AVG. Dit document bevat onder andere informatie over de categorieën van persoonsgegevens die worden verwerkt, met welk doel dit wordt gedaan, op basis van welke rechtsgrond en welke beveiligings-maatregelen er zijn getroffen. Ook is het goed om richtlijnen op te nemen voor het afhandelen van een inzage- en/of verwijderingsverzoek.

Het verwerkingsregister bevat informatie over alle verwerkingen binnen de organisatie. Dit is verplicht voor ggz-aanbieders die stelselmatig medische persoonsgegevens verwerken. Dit register bevat informatie over de verwerkingsactiviteit en laat per categorie ‘verwerkte persoonsgegevens’ zien wat daarvan het doel is, de bewaartermijn en waarom die persoonsgegevens worden verwerkt. Er mogen geen persoonsgegevens in het verwerkings-register worden opgenomen.