Zowel private als publieke organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen.
Door een beveiligingsfout kunnen grote hoeveelheden persoonsgegevens op straat belanden. De toezichthouder - het College bescherming persoonsgegevens (Cbp) - ontvangt een melding. Daarnaast ontvangt in veel gevallen ook degene wiens persoonsgegevens het betreft een melding, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het Cbp een boete opleggen van maximaal 450.000 euro.