Cele systemów wykrywania wycieków danych są dwojakie: po pierwsze, zablokowanie niepożądanych operacji na dużych zbiorach danych wrażliwych - na przykład ich kopiowanie na pamięci przenośne USB. Po drugie - i ta funkcja jest mniej doceniana choć równie ważna - inwentaryzacja tych zbiorów i możliwość dostarczenia danych dowodowych (forensic) w razie podejrzenia, że do wycieku jednak doszło.

W uproszczeniu system DLP zatem chroni wrażliwe zbiory danych przed wyniesieniem z firmy za pomocą różnych technik oraz dostarcza informacji gdzie i u kogo na komputerze ostatnio te dane były widziane. Mówiąc językiem nieco bardziej sformalizowanym, system DLP jest formą zapory, która wymusza by przepływy danych wrażliwych odbywały się w zgodzie z zasadami wynikającymi z polityki bezpieczeństwa.

Klasyfikacja systemów DLP jest podobna do podziału systemów wykrywania i zapobiegania włamaniom (IDS/IPS) - sensory DLP mogą działać jako wyspecjalizowane urządzenie śledzące ruch w całym segmencie sieci (sensor sieciowy zbliżony do NIDS) lub jako agent działający w systemie operacyjnym każdego z użytkowników (sensor hostowy, HIDS). Zbliżone są również metody działania - sieciowy sensor DLP to praktycznie to samo co NIDS z tą różnicą, że poza sygnaturami ataków wykrywa również sygnatury charakterystyczne dla informacji wrażliwych, zwłaszcza danych osobowych (np. Social Security Number - SSN, PESEL itd).

Sensory DLP działające w systemie operacyjnym są z kolei bardziej zbliżone do oprogramowania antywirusowego. Ich funkcje mogą być dwojakie - po pierwsze regularnie skanują system w celu zindeksowania plików zawierających dużą koncentrację sygnatur danych wrażliwych, po drugie śledzą operacje wykonywane na tych plikach w celu zagwarantowania, że nie zostaną one przesłane poza obręb organizacji.

W najpopularniejszym scenariuszu agent DLP skanuje system i oznacza wszystkie pliki określonych typów (np. DOC, PDF, XLS) sygnaturą określającą ilość danych wrażliwych, które się w nich znajdują. Jako dane wrażliwe mogą być zdefiniowane imiona, nazwiska, adresy i wspomniane osobowe numery identyfikacyjne. Informacje o zindeksowanych plikach są przesyłane do centralnej bazy danych i stanowią informacje dowodowe na wypadek konieczności przeprowadzenia śledztwa.