Die Umsetzung der technischen und organisatorischen Maßnahmen (TOM) sollte regelmäßig in einem Datenschutz-Audit überprüft werden. Dies umfasst die Bereiche Zutrittskontrolle (Maßnahmen die gewährleisten, dass Unbefugte keinen Zutritt erhalten), Zugangs- und Weitergabekontrolle (Maßnahmen die regeln, wer auf welche Daten zugreifen kann), Auftragskontrolle (Maßnahmen die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können), Verfügbarkeitskontrolle (Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind) und Sonstige organisatorische Maßnahmen (Bestellung eines/einer Datenschutzbeauftragten, Löschung von nicht mehr benötigten Daten, Einbeziehung des Betriebs- oder Personalrats, Datenschutz für Emails und für die Internetseite, Private Nutzung von Internet, Email und (Mobil)telefon).
Werden beim Audit technische und/oder organisatorische Maßnahmen identifiziert, welche zwar erforderlich aber nicht umgesetzt sind, so wird die Geschäftsleitung durch den/die Datenschutzbeauftragte*n informiert.

Siehe auch: Datenschutz, Datenschutz-Einverständniserklärung, Datenschutz: Technische und organisatorische Maßnahmen (TOM), Datenschutzbeauftragte*r