Elke organisatie die persoonsgegevens verwerkt van meer dan vijfduizend personen per jaar heeft vanaf 2017 een "data protection officer" nodig. Die moet controleren of goed wordt omgesprongen met persoonsgegevens, onder meer binnen e-HRM systemen.