Euroopan komissio antoi tammikuussa 2012 ehdotuksen tietosuojasääntelyn uudistamisesta EU:ssa. Tutkielma käsittelee erityisesti komission tietosuoja-asetusehdotuksen 30–32 §:ä, jotka säätelevät rekisterinpitäjälle ja henkilötietojen käsittelijälle asetettuja tietoturvallisuusvelvoitteista. Lobbausaktiviteetit ja yli 4000 muutosehdotusta tietosuoja-asetusehdotukseen osoittavat, että useat organisaatiot pitävät muutosta tietosuojalainsäädännössä merkittävänä. Tutkielmassa tarkastellaan, minkälaista diskurssia tietosuoja-asetusehdotuksesta on käyty asetuksen valmisteluvaiheessa.

Voimassa oleva henkilötietodirektiivi ei aseta rekisterinpitäjille velvollisuutta ilmoittaa henkilötietoihin kohdistuvista tietoturvaloukkauksista. Uudistuksen kautta tähän on tulossa muutos, sillä rekisterinpitäjille asetetaan tietosuoja-asetuksessa velvollisuus ilmoittaa tietoturvaloukkauksista tietosuojaviranomaisille ja asianomaisille yksilöille. Komission ehdotuksessa edellytettiin, että rekisterinpitäjä tekee kaikissa tietoturvaloukkaustapauksissa ilmoituksen valvontaviranomaiselle 24 tunnin kuluessa sen ilmitulosta. Useat rekisterinpitäjät totesivat kannanotoissaan, että näin lyhyt määräaika aiheuttaisi todennäköisesti haittaa tietoturvaloukkausten korjaamiselle. Ehdotusta kritisoitiin myös siitä, että myös vähäisistä tietoturvaloukkauksista oli ehdotuksen mukaan ilmoitettava valvontaviranomaiselle. Joulukuussa 2015 neuvoston, Euroopan parlamentin ja komission kolmikantaneuvotteluissa päästiin sopimukseen tietosuoja-asetuksesta. Kompromissitekstissä ilmoituksen tekemisen määräaika on 72 tuntia. Tietosuoja-asetuksessa ilmoitus ei tule koskemaan vähäisiä tietoturvaloukkauksia. Tämä asetuksen valmistelun aikana tehty rajaus johtaa kysymykseen siitä, kuinka objektiivisesti rekisterinpitäjät pystyvät tekemään arvion tietoturvaloukkauksen luonteesta ja vaikutuksista. Oikeusvertailevassa osuudessa esitellään, millaisia vaikutuksia vastaavantyyppisistä velvoitteista säätäminen on aiheuttanut Yhdysvalloissa.

Tietosuoja-asetuksessa lujitetaan tietoturvallisuutta asettamalla valvontaviranomaisille oikeus ja velvollisuus asettaa rekisterinpitäjälle hallinnollinen sakko, jos velvoitteiden toteutuksessa on puutteita. Asetustasolla on määritelty sakkojen enimmäismäärä, mutta valvontaviranomaiselle on jätetty asetuksessa tapauskohtaista harkintavaltaa.