Tot nu toe hebben 29 organisaties aan de Autoriteit Persoonsgegevens gemeld dat zij een mogelijk datalek hebben door de beveiligingsproblemen met hun digitale omgeving Citrix. Of er werkelijk sprake is van datalekken, wordt nog onderzocht.
Organisaties zijn verplicht om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Vervolgens moet blijken of dat een geslaagde aanvalspoging was of niet. Zo ja, dan wordt vervolgens gekeken of er ook data zijn gestolen.