Ongeveer zestig keer per dag krijgt de Autoriteit Persoonsgegevens een melding dat persoonlijke gegevens zijn uitgelekt. In de eerste zes maanden van dit jaar kreeg de privacywaakhond bijna 12.000 meldingen, 34 procent meer dan in de eerste helft van vorig jaar. De meeste meldingen komen van de zorgsector.
Organisaties die ontdekken dat er een lek is geweest, zijn verplicht om dat binnen 72 uur bij de Autoriteit Persoonsgegevens te melden. De waakhond vermoedt dat niet alle datalekken worden gemeld, en dat de meldingen die wel binnenkomen niet altijd op tijd zijn gedaan. De autoriteit onderzoekt zeventien gevallen waarbij een datalek mogelijk niet is gemeld en vier waarbij dat te laat zou zijn gebeurd. Wie een datalek niet meldt, riskeert een boete die kan oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaropzet van een bedrijf.
In ongeveer twee op de drie gevallen gaat het mis doordat brieven of e-mails naar het verkeerde adres worden gestuurd en dus bij de verkeerde persoon terechtkomen. Meestal gaat het om de gegevens van één persoon.