Er is sprake van een datalek wanneer er iets is misgegaan met de beveiliging wat niet had mogen gebeuren en er persoonsgegevens verloren, gewijzigd, vernietigd of onbedoeld toegankelijk waren voor derden.
Wanneer een datalek is ontdekt, moet dit in bepaalde gevallen binnen 72 gemeld worden aan de toezichthouder . Wanneer een datalek een hoog risico oplevert voor de persoon van wie de persoonsgegevens zijn, moet de datalek ook aan hem/haar gemeld worden. Dit is verplicht wanneer een datalek een hoog risico met zich meebrengt voor de persoon in kwestie. Een hoog risico kan bijvoorbeeld financiële schade, discriminatie en (identiteits)fraude zijn.
Als een datalek niet (tijdig) wordt gemeld, kan de toezichthouder een boete opleggen.