Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (kort: AVG)  in werking. Deze landelijke wetgeving is gebaseerd op Europese wetgeving met betrekking tot de bescherming van persoonsgegevens (privacy). Hiermee wordt binnen de EU privacywetgeving geüniformeerd. De voor Nederland op dit moment geldende wet bescherming persoonsgegevens komt op deze datum te vervallen. Vanaf 25 mei 2018 geeft de AVG burgers in de EU het recht om te weten welke persoonsgegevens organisaties van hem bewaren en gebruiken, maar ook om te vragen of organisaties daar zorgvuldig mee omgaan. Gemeenten moeten kunnen aantonen dat ze voldoen aan de AVG en dat geeft ze een onderzoeks- en documentatieplicht op het gebied van bescherming persoonsgegevens. Zij zal persoonsgegevens moeten inventariseren (op basis van soms grondige analyses) en zal bij haar medewerkers de bewustwording over de bescherming van persoonsgegevens van burgers op gang moeten brengen. De gemeente zal ook verantwoordelijk zijn voor de bescherming van persoonsgegevens van haar ‘corporate family’ (verbonden en uitvoerende partijen, zoals leveranciers en gesubsidieerde instellingen).
De burger heeft het recht om bij de Autoriteit Persoonsgegevens (AP) een klacht in te dienen over een organisatie. Het is dan aan de organisatie om aan te tonen dat de organisatie conform de wetgeving heeft gehandeld. De AP zal in de toekomst alle klachten onderzoeken en kan de gemeente een boete opleggen.
De aanstelling van een functionaris gegevensbescherming alsmede het opzetten van een verwerkingenregister, waarin de verwerkingen van persoonsgegevens zijn opgenomen, vormen onderdeel van de verplichte activiteiten in 2018.