Volgens de autoriteit ging ruim twee derde van de meldingen over gegevens van een persoon die per ongeluk naar een verkeerde ontvanger werden gestuurd. De rest ging over kwijtgeraakte persoonsgegevens, zoals verloren of gestolen laptops of usb-sticks, hacking, phishing of malware.
De meest gelekte gegevens zijn naam, geslacht en contactgegevens. Ook kreeg de autoriteit duizenden meldingen van gelekte medische gegevens en burgerservicenummers (bsn). Organisaties die ontdekken dat er een lek is geweest, zijn verplicht om dat te melden. De regels zijn sinds de introductie van de Algemene verordening gegevensbescherming (AVG) in mei aanzienlijk strenger geworden. De Autoriteit Persoonsgegevens zegt dit jaar meer te focussen op de niet gemelde datalekken.
De privacywaakhond kan boetes opleggen voor datalekken. Dat gebeurde vorig jaar onder meer bij taxibedrijf Uber, dat in 2016 slachtoffer was van een datalek. Het bedrijf meldde dat pas een jaar later en moest daarom 600.000 euro betalen. Wie zich niet aan de regels houdt, riskeert een boete tot maximaal 4 procent van de jaaromzet of 20 miljoen euro.