Sinds de Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR) in de Verenigde Staten, in werking is getreden is er één en ander veranderd voor zowel de consument als de eigenaren van webshops. Het doel van deze wetgeving was namelijk om een betere bescherming van persoonsgegevens te bewerkstelligen. Voor de consument betekent dit allereerst het recht om vergeten te worden. Wanneer een consument hierom vraagt, en het bewaren van persoonsgegevens niet langer noodzakelijk is, dan dienen de gegevens bij een verzoek onmiddellijk te worden verwijderd. Aanvullend is er het recht op dataportabiliteit, dit houdt in dat gegevens op een dusdanige manier moeten worden gestructureerd zodat de consument eenvoudiger kan overstappen op bijvoorbeeld een andere dienstverlener. Tenslotte volgt er ook nog het recht van bezwaar, hierdoor mag iemand altijd bezwaar maken tegen de verwerking van hun persoonsgegevens. Hierbij dient ook het belang van de webshopeigenaar te worden meegenomen en is het dus niet hetzelfde als het recht om vergeten te worden.
Voor de webshopeigenaren kwamen er allereerst toestemmingsverplichtingen waarbij je wordt geacht de bezoeker mede te delen dat er cookies worden geplaatst om bijvoorbeeld websiteverkeer bij te houden. Een andere verantwoordelijkheid heeft te maken met de bewaartermijnen om persoonsgegevens. Zo is afgesproken dat het niet langer is toegestaan dat persoonsgegevens langer bewaard worden dan strikt noodzakelijk. Aanvullend is er ook een informatieverplichting, je dient de gebruiker te wijzen op een zogeheten ‘privacy policy’. Hier wordt dan vervolgens in verwerkt hoe en welke data er op welke wijze wordt verwerkt door de betrokken partij. Als laatste is er een meldplicht gekomen voor datalekken. Is er een inbreuk geweest op de persoonsgegevens van een webshop? Dan dient dit door hen zelf te worden medegedeeld aan haar gebruikers binnen een termijn van maximaal 72 uur. Overigens is dit laatste punt in Nederland al gebruikelijk gezien de meldplicht voor datalekken in 2016 al werd geïntroduceerd.