Nederland is door de Europese Commissie op zijn vingers getikt omdat het de Europese richtlijn voor bescherming van persoonsgegevens nog niet heeft omgezet in wetgeving. Naast Nederland zijn ook Frankrijk, Luxemburg, Duitsland, het Verenigd Koninkrijk, Ierland, Denemarken, Spanje en Oostenrijk in gebreke gebleven.
De richtlijn is 25 oktober 1998 van kracht geworden. Alle lidstaten van de Europese Unie moeten deze richtlijn omzetten in wetgeving om hun burgers te beschermen bij het gebruik van privacy-gevoelige gegevens als ras, politieke voorkeur, godsdienst en gezondheid. Daarbij gaat het vooral om gegevens die zijn opgenomen in computerbestanden.
De negen landen die nog niet aan de richtlijn voldaan hebben, krijgen van de EC twee maanden om deze alsnog om te zetten in wetgeving. Gebeurt dat niet of onvoldoende, dan kan de EC naar het Europese Hof van Justitie stappen.
Deze achterstand doet de positie van de EU in de – moeizame – onderhandelingen met de VS over privacybescherming geen goed. De VS kennen veel minder strenge regels, die grotendeels gebaseerd zijn op vrijwillige zelfregulering. De EU onderhandelt al ruim twee jaar met de VS over het voldoen aan de Europese regels. Nu zoveel EU-lidstaten dat zelf niet doen, wordt het moeilijker de VS daartoe te dwingen.