W każdym przedsiębiorstwie lub instytucji może dojść do naruszenia zasad ochrony danych osobowych, prowadzącego do incydentu bezpieczeństwa informacji. Ważne jest, żeby organizacja umiała sobie z nim poradzić. Będzie to szczególnie istotne od momentu wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych (25 maja 2018 r.). Zgodnie z jego postanowieniami, o incydentach powodujących wysokie ryzyko naruszenia praw lub wolności osób fizycznych trzeba będzie informować osoby, których dane dotyczą.