Op 1 januari 2016 treden verschillende wijzigingen van de Wet bescherming persoonsgegevens (Wbp) in werking. De naam van het College bescherming persoonsgegevens verandert op dat moment in Autoriteit Persoonsgegevens. Deze kan direct boetes opleggen als organisaties de Wbp overtreden. Daarnaast geldt vanaf 1 januari de meldplicht datalekken.
De maximale boete die de Autoriteit Persoonsgegevens kan opleggen is 820.000 euro. Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Het CBP heeft beleidsregels over de meldplicht datalekken gepubliceerd. Deze helpen organisaties bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.
Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.