Getroffen IT-leveranciers informeren hun klanten vaak te langzaam of incompleet over een datalek, ziet de AP ook. De leverancier verzwijgt dingen bijvoorbeeld uit angst voor reputatieschade. Dat maakt het moeilijker om mensen te waarschuwen van wie data (mogelijk) is gestolen. Vaak is niet de IT-leverancier, maar de klant van dat bedrijf daar verantwoordelijk voor.

Bedrijven zijn verplicht een datalek bij de toezichthouder te melden als er grote risico's voor slachtoffers bestaan. In totaal krijgt de toezichthouder zo'n 25.000 meldingen van datalekken per jaar. De 28 incidenten bij IT-bedrijven waren bij elkaar goed voor 1800 meldingen.