Dat zegt de Europese Commissie, die de overige lidstaten aanspoort om haast te maken.

De landen moeten zorgen dat hun toezichthouders voldoende zijn toegerust op de nieuwe wet. In Nederland is dat de Autoriteit Persoonsgegevens. Brussel stelt er in totaal 3,7 miljoen euro beschikbaar, ook voor training en databeschermingsspecialisten. Dit soort functionarissen worden verplicht voor grote bedrijven.

In 2016 werd de Algemene Verordering Gegevensbescherming (AVG) aangenomen. Op 25 mei moet iedereen aan de wetgeving voldoen. Overheden, bedrijven en andere instanties worden verplicht aan te tonen welke persoonsgegevens ze verzamelen. Ook moeten ze kunnen uitleggen hoe ze worden gebruikt en beveiligd.

De wetgeving geldt ook voor bedrijven die buiten Europa gevestigd zijn, maar wel Europese gebruikers hebben, zoals Facebook.

De nationale toezichthouders kunnen boetes opleggen als bedrijven de AVG overtreden. De boete kan oplopen tot 20 miljoen euro, of 4 procent van de wereldwijde omzet van het bedrijf. Een toezichthouder kan daarnaast aanvullende eisen stellen aan de bedrijfsvoering van de overtreder.