De AVG (GDPR) verplicht elk bedrijf of instelling om een procedure of draaiboek klaar te hebben liggen voor het geval er een datalek wordt ontdekt. In de AVG (GDPR) staan een aantal verplichtingen waaraan deze procedure moet voldoen. Denk onder andere aan het tijdsbestek waarbinnen de datalek gemeld moet worden bij de Autoriteit Persoonsgegevens (AP) én de betrokkenen.