Na de implementatie van de AVG is het belangrijk dat de organisatie blijvend voldoet aan de privacyregelgeving. Dus je bent nooit klaar met AVG-zaken. Dit is een doorlopende cyclus van vastleggen, uitvoeren, monitoren, evalueren, checken, aanpassen etc. Meestal gebeurt dit op basis van een PDCA-cyclus (Plan-Do-Check-Act). Onderwijsinstellingen zijn vaak goed bekend met de PDCA-cyclus vanwege naleving van andere wetgeving en controles daarop door de Onderwijsinspectie.
