In Nederland wordt op dit moment het wetsvoorstel rond de meldplicht datalekken en de boetebevoegdheid voor het College Bescherming Persoonsgegevens in de Tweede Kamer behandeld. In het stenogram van die behandeling is de volgende opmerking van dhr. Teeven te lezen:
Tegelijkertijd moet ik vaststellen dat ik na de informele Raad in Letland van vorige week niet zo optimistisch ben over het tijdschema van de verordening. Die zal niet in 2015 en misschien zelfs niet tijdens het Nederlandse voorzitterschap in de eerste helft van 2016 kunnen worden afgerond. Die verordening zou weleens pas in de tweede helft van 2016 dan wel tijdens de eerste helft van 2017 onder Maltees voorzitterschap kunnen worden afgerond. Dat heeft onder meer te maken met bijvoorbeeld de moeilijke vraag onder welk beschermingsregime de politiegegevens vallen.
Er van uitgaande dat de inwerkingtreding van de nieuwe regels nog steeds twee jaar na vaststelling er van is, betekent dit dus dat de nieuwe regels vermoedelijk pas op zijn vroegst eind 2018 in werking treden. Dit geeft Nederlandse bedrijven en instellingen nog wat meer tijd zich voor te bereiden op deze (waarschijnlijk strenge) nieuwe regels.
Overigens is dit zeker geen aanleiding om stil te zitten. Nederlandse kamerleden lijken immers, mede gelet op de ingediende moties, het CBP meer armslag te willen geven in het opleggen van stevige boetes. Die boetes kunnen oplopen tot wel 810.000 euro. Met andere woorden: Europese regels laten misschien nog wel even op zich wachten, aan de Nederlandse regels worden in de tussentijd stevige sancties gekoppeld.