Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden. De term ‘datalek’ komt niet voor in de wet.
Opvallend is dat de AP aangeeft dat het aantal officiële onderzoeken dat de toezichthouder uitvoert naar datalekincidenten vrij beperkt is. In 2021 startte de toezichthouder in totaal 36 officiële onderzoeken naar datalekken, vooral bij ICT-leveranciers. De onderzoeken werden uitgevoerd, zonder dat de betreffende bedrijven zelf melding hadden gedaan.
In principe moet de AP iedere melding van een datalek onderzoeken, maar in de praktijk gebeurt dit zelden. De toezichthouder voert vrijwel geen onderzoeken uit als daar geen aanleiding voor is. Bijvoorbeeld als duidelijk is dat een brief verkeerd is bezorgd, een mail naar een verkeerd adres is gestuurd of dat iemand onopzettelijk een heel adressenbestand in een e-mail heeft meegestuurd. Onderzoeken op eigen initiatief vinden nauwelijks plaats.