De AVG spreekt van een ‘inbreuk in verband met persoonsgegevens’ (in het spraakgebruik een ‘datalek’) wanneer een inbreuk op de beveiliging leidt tot het verlies, of het ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Persoonsgegevens zijn dus onbedoeld verloren gegaan, of terechtgekomen waar zij niet moeten zijn. Van een inbreuk op de beveiliging is sprake wanneer zich daadwerkelijk een incident heeft voorgedaan: enkel een zwakke beveiliging of dreiging betekent nog geen incident. Daarbij dienen persoonsgegevens verloren te zijn gegaan of op enige wijze onrechtmatig verwerkt te zijn. Kortom: een vrij brede definitie. Er is dus niet alleen sprake van een datalek als een hacker toegang tot persoonsgegevens krijgt. Ook verlies van een USB-stick in de trein, of het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld) kan al een datalek zijn. En zelfs verlies van gegevens zoals bij een brand in het datacentrum terwijl er geen back up beschikbaar is, ziet de wet als een datalek.
Het Handje dient als bedrijf preventief de juiste beveiligingsmaatregelen te nemen om datalekken te voorkomen. Dit kan bijvoorbeeld door gebruik te maken van encryptietechnieken, een autorisatiebeleid en toegangscontrole.
Lekken waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, zijn geen datalekken. Als de broncode van nieuwe software van Het Handje wordt ontvreemd, of een lijst met bedrijfsnamen uit het relatiebeheerpakket wordt gekopieerd, dan valt dat bijvoorbeeld buiten deze wet