De Algemene Verordening Gegevensbescherming eist dat organisaties een datalek melden bij de Autoriteit Persoonsgegevens, tenzij het datalek geen risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. De betrokken personen informeer je alleen als er sprake is van een hoog risico.