Op 1 januari 2016 is de meldplicht ingegaan voor het lekken van data. Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens, zoals het vrijkomen van persoonsgegevens zonder dat dit de bedoeling van een organisatie is geweest. Voorbeelden hiervan zijn het verlies of diefstal van een laptop of USB stick met persoonsgegevens erop of de inbreuk in databestanden door een hacker.
Als er sprake is van een (ernstige) datalek, en er een aanzienlijke kans is op ernstige nadelige gevolgen van de datalek, dan dient de organisatie die verantwoordelijk is voor die data dit direct te melden aan de Autoriteit Persoonsgegevens (voorheen genaamd het College Bescherming Persoonsgegevens of CBP). De Autoriteit Persoonsgegevens heeft hiervoor een speciaal meldloket ingericht en stelt een webformulier beschikbaar op haar website. In sommige gevallen is de organisatie ook verplicht de datalek te melden aan de betrokken personen (de mensen van wie de persoonsgegevens zijn gelekt).
Bij niet naleving van de meldplicht datalekken heeft de Autoriteit de mogelijkheid om boetes uit te delen tot maximaal EUR 810.000,- of 10% van de jaaromzet.