De Autoriteit Persoonsgegevens (AP) richt zich volgens onderzoekers bij het toezicht vooral op partijen die datalekken wel melden. Hierdoor lijken niet-melders min of meer vrij spel te hebben, en/of zijn potentiële melders eerder terughoudend worden om te melden. Het snel oplossen van een datalek heeft geen effect op de hoogte van de vastgestelde boete. Verder ontbreekt bij de AP een beleidsregel waarin het toezichts- en handhavingsbeleid is vastgelegd.