Personuppgiftsincident: vad företag måste göra inom 72 h

maj 24, 2026, Jesper Thornberg

Det börjar ofta med ett mejl som gick till fel person, en stulen laptop eller ett ransomware-angrepp som låser hela servern. Plötsligt vet du att personuppgifter kan ha exponerats, och klockan börjar ticka. En personuppgiftsincident vad måste företag faktiskt göra inom 72 timmar är en fråga som många ställer sig i just det ögonblicket. Den här guiden ger dig ett konkret, steg-för-steg-svar: vad som räknas som en incident, när du måste anmäla till Integritetsskyddsmyndigheten (IMY), vad som ska dokumenteras, och vilka misstag som kostar mest.

Innehållsförteckning

Viktiga punkter

Punkt Detaljer
72-timmarsregeln gäller från upptäckt Klockan börjar ticka när någon i organisationen blir medveten om incidenten, inte när den inträffade.
Anmäl även om fakta är ofullständiga En initial anmälan till IMY kan kompletteras i efterhand och är bättre än en försenad anmälan.
Dokumentation är obligatorisk alltid Även incidenter som inte når anmälningsgränsen måste dokumenteras i ett internt incidentregister.
Registrerade ska informeras vid hög risk Om incidenten innebär hög risk för de berördas rättigheter måste de informeras utan onödigt dröjsmål.
Tydliga roller avgör om ni klarar fristen Samarbete mellan IT, juridik, HR och ledning är förutsättningen för att hantera 72-timmarsregeln korrekt.

Personuppgiftsincident: definition och när du måste agera

En personuppgiftsincident är, enligt GDPR, en säkerhetsincident som leder till oavsiktlig eller otillåten förstöring, förlust, ändring, obehörigt utlämnande av eller obehörig åtkomst till personuppgifter. Definitionen är bredare än vad många tror.

Konkreta exempel på incidenter som utlöser anmälningsplikten:

  • Dataintrång där en angripare tar sig in i ett system och kopierar kundregister eller personaldata.
  • Ransomware som krypterar servrar och gör personuppgifter otillgängliga, vilket räknas som en förlust av tillgänglighet.
  • Felskickat mejl med en bilaga som innehåller känsliga uppgifter om kunder eller anställda.
  • Förlorad eller stulen enhet, exempelvis en laptop eller USB-minne med okrypterat innehåll.
  • Obehörig intern åtkomst, till exempel en anställd som läser patientjournaler utan behörighet.
  • Felkonfigurerad molntjänst som gör ett privat dokument publikt tillgängligt.

Inte alla incidenter kräver anmälan till IMY. Skillnaden avgörs av risknivån. Om incidenten sannolikt inte medför risk för fysiska personers rättigheter och friheter räcker det med intern dokumentation. Om risken bedöms som sannolik måste du anmäla personuppgiftsbrott till IMY. Vid hög risk ska dessutom de berörda personerna informeras direkt.

Tidsramen är kritisk. De 72 timmarna räknas från det ögonblick då organisationen får kännedom om incidenten. Det innebär att om en IT-tekniker upptäcker ett intrång på måndag kväll, börjar klockan ticka då, inte när ledningen informeras nästa morgon. Rutiner för intern eskalering är därför lika viktiga som rutiner för extern rapportering.

Grafik som visar steg-för-steg hur du hanterar en incident under de första 72 timmarna

Teamet går igenom incidentrapporter för att identifiera och bedöma eventuella risker.

Steg för steg inom 72 timmar efter incidenten

Att hantera dataintrång på 72 timmar kräver ett strukturerat tillvägagångssätt. Nedan följer en tidsordnad plan som ger din organisation kontroll i en pressad situation.

  1. Timme 1 till 6: Stoppa skadan och säkra bevis. Isolera det drabbade systemet från nätverket. Ta skärmdumpar, loggar och annan dokumentation som visar vad som hänt. Gör en preliminär bedömning av vilka uppgifter som kan ha påverkats och hur många personer som berörs. Utse omedelbart en incidentledare med mandat att fatta beslut.

  2. Timme 6 till 24: Verifiera och kartlägg. Djupare teknisk analys för att fastställa intrångets eller läckans verkliga omfattning. Bekräfta vilka kategorier av personuppgifter som berörs, till exempel hälsodata, finansiella uppgifter eller personnummer. Påbörja ett utkast till IMY-anmälan parallellt med utredningen. Rollfördelning och samarbete mellan IT, juridik och ledning är avgörande i det här skedet.

  3. Timme 24 till 48: Fatta beslut om anmälan. Genomför en formell riskbedömning. Dokumentera beslutsunderlaget. Om incidenten sannolikt medför risk, slutför anmälningsutkastet. Förbered också kommunikation till berörda registrerade om riskbedömningen pekar mot hög risk.

  4. Timme 48 till 72: Skicka anmälan och kommunicera. Skicka anmälan till IMY via deras e-tjänst. Om hög risk föreligger, skicka information till de berörda personerna. Säkerställ att all intern dokumentation är komplett och arkiverad.

Proffstips: Välstrukturerade mallar för IMY-anmälan med fasta fält och klara beslutspunkter för risknivåer kan spara kritisk tid. Förbered mallarna innan en incident inträffar, inte under den.

En vanlig och kostsam missuppfattning är att vänta med anmälan tills alla detaljer är kända. En initial ofullständig anmälan kan kompletteras i efterhand och är alltid bättre än att riskera böter för sen anmälan.

Nedan visas en översikt av tidsramen och de viktigaste åtgärderna:

Tidsperiod Prioriterade åtgärder Ansvarig
Timme 0 till 6 Isolera, säkra bevis, utse incidentledare IT, ledning
Timme 6 till 24 Kartlägg omfattning, påbörja anmälningsutkast IT, juridik/DPO
Timme 24 till 48 Riskbedömning, beslut om anmälan, förbered kommunikation Juridik, HR, ledning
Timme 48 till 72 Skicka IMY-anmälan, informera registrerade vid hög risk DPO, kommunikation

Intern dokumentation: vad som måste registreras

Dokumentationsskyldigheten gäller alla incidenter, även de som inte når upp till anmälningsgränsen. Det är ett krav som många organisationer underskattar.

Ditt interna incidentregister ska minst innehålla:

  • Händelseförlopp: Vad hände, när och hur upptäcktes incidenten?
  • Berörda uppgifter: Vilka kategorier av personuppgifter påverkades och hur många registrerade berörs?
  • Riskbedömning: Vilken risk innebär incidenten för de berörda personernas rättigheter och friheter?
  • Beslut: Varför beslutades det att anmäla eller inte anmäla till IMY?
  • Vidtagna åtgärder: Vad gjordes för att begränsa skadan och förhindra upprepning?
  • Kommunikation: Hur och när informerades berörda registrerade, om det var aktuellt?

Skillnaden mellan det interna registret och IMY-anmälan är viktig att förstå. IMY-anmälan är en extern rapport till tillsynsmyndigheten. Det interna registret är er egen löpande dokumentation och det är det som IMY granskar vid en tillsyn. Ett välförd register visar att organisationen tar GDPR på allvar och hanterar incidenter systematiskt.

Proffstips: Att ha ett internt incidentregister som dokumenterar samtliga incidenter, även de som inte anmäls, är en grundläggande del av GDPR-efterlevnad. Använd ett digitalt system med tidsstämplar och versionering för att dokumentationen ska hålla vid en granskning.

Dokumentationen fyller också en annan funktion: den ger er möjlighet att lära av incidenter och förbättra era rutiner. En spansk kemikalietillverkare bötfälldes med 310 000 euro bland annat för brister i dokumentation och avtal vid ett dataintrång. Det illustrerar tydligt att bristfällig dokumentation kan förvandla en hanterbar incident till en kostsam rättslig process.

När och hur registrerade ska informeras

Att informera de registrerade är ett av de mest känsliga momenten i åtgärder vid personuppgiftsincident. Skyldigheten uppstår när incidenten sannolikt medför hög risk för de berörda personernas rättigheter och friheter. Det är ett högre tröskelkrav än för IMY-anmälan.

Faktorer som talar för hög risk är bland annat att känsliga kategorier av uppgifter berörs (hälsa, ekonomi, personnummer), att ett stort antal personer drabbas, eller att uppgifterna kan användas för identitetsstöld eller bedrägerier.

Informationen till de registrerade ska vara klar och handlingsinriktad. Enligt IMY:s vägledning ska den innehålla:

  • En beskrivning av vad som har inträffat.
  • Vilka kategorier av personuppgifter som berörs.
  • Sannolika konsekvenser av incidenten.
  • Vilka åtgärder organisationen har vidtagit eller planerar att vidta.
  • Kontaktuppgifter till dataskyddsombudet (DPO) eller annan kontaktpunkt.
  • Konkreta råd till de drabbade, exempelvis att byta lösenord eller bevaka kontoutdrag.

Välj kommunikationskanal med omsorg. E-post fungerar om ni har aktuella adresser, men vid allvarliga incidenter kan det krävas direktkontakt eller pressmeddelanden. Undvik vaga formuleringar som skapar oro utan att ge vägledning. Intern samordning mellan juridik, kommunikation och HR:s roll vid incidenter är avgörande för att budskapet ska vara korrekt och konsekvent.

Vanliga misstag vid personuppgiftsincidenter

Stress och tidsbrist skapar förutsättningar för fel. Nedan följer de misstag som återkommer oftast och som kostar mest.

  • Försenad anmälan. Många organisationer väntar för länge med att anmäla till IMY i hopp om att kunna presentera en komplett bild. Att göra en snabb initial anmälan och komplettera den är alltid rätt väg. En försenad anmälan kan leda till sanktionsavgifter även om incidenten i sig var liten.
  • Bristande dokumentation. Att inte dokumentera händelseförlopp, beslut och åtgärder i realtid är ett vanligt misstag. Minnet är opålitligt under stress, och IMY förväntar sig skriftliga underlag.
  • Otydliga roller. När ingen vet vem som leder incidentarbetet uppstår förvirring och dubbelarbete. Samarbete mellan IT, juridik och ledning kräver förutbestämda ansvarsområden.
  • Underskattad kommunikation till registrerade. Antingen informeras de drabbade för sent, eller så är informationen så vag att den skapar mer oro än den löser.
  • Den mänskliga sidan glöms bort. Psykologiskt stöd och krisplanering med HR är avgörande för långsiktig återhämtning efter en incident. Medarbetare som hanterat ett intrång eller en läcka behöver stöd, inte bara tekniska åtgärder.

“Rutiner och mallar samt tydliga roller minskar risken för misstag vid hantering av personuppgiftsincidenter avsevärt. Den organisation som övar på scenarier innan olyckan inträffar klarar 72-timmarsfristen med marginal.”

Förebygg misstagen genom att genomföra tabletop-övningar minst en gång per år, hålla mallarna uppdaterade och säkerställa att alla relevanta funktioner vet vad de ska göra när larmet går.

Min reflektion om incidenthantering i praktiken

Jag har sett många organisationer hamna i panik när en incident väl inträffar, och det mest slående är hur sällan problemet är brist på kompetens. Det handlar nästan alltid om brist på förberedelse.

Det som skiljer de organisationer som klarar 72-timmarsfristen från de som missar den är inte att de har smartare jurister eller bättre IT-personal. Det är att de har övat. De har en incidentledare utsedd i förväg. De har en mall för IMY-anmälan som är ifylld till hälften redan från start. De vet vem som ringer vem.

Min erfarenhet är att det också finns en tendens att vilja ha alla fakta klara innan man agerar. Det är ett mänskligt instinkt, men det är fel strategi vid en personuppgiftsincident. Anmäl tidigt, komplettera sedan. IMY förväntar sig inte perfektion vid den initiala anmälan. De förväntar sig att du agerar.

En sak jag ofta lyfter fram är den mänskliga kostnaden. Medarbetaren som råkade skicka fel mejl, IT-teknikern som hittade intrånget mitt i natten, den DPO som suttit vaken i 40 timmar. De behöver stöd. En incident är inte bara ett juridiskt problem, det är ett organisatoriskt trauma. De organisationer som tar hand om sina medarbetare efter en incident återhämtar sig snabbare och bygger en starkare säkerhetskultur på lång sikt.

— Jesper

Trustview hjälper dig hantera incidenter strukturerat

Att uppfylla 72-timmarsregeln under press kräver mer än god vilja. Det kräver struktur, tydliga roller och ett system som håller ordning på dokumentation, riskbedömningar och åtgärder även när stressen är som störst.

https://trustview.se

Trustview är en plattform för compliance-hantering som samlar GDPR-arbetet på ett ställe. Med Trustview kan du spåra incidenter, dokumentera händelseförlopp och beslut, tilldela ansvar och följa upp åtgärder i ett och samma arbetsflöde. Plattformen är byggd för att minska den administrativa bördan och ge din organisation den översikt som krävs för att agera snabbt och korrekt. Läs mer om hur du kan uppnå full GDPR-efterlevnad och bygg en incidentberedskap som håller. Du kan också ta del av Trustviews guide för att upprätta en åtgärdsplan som stödjer hela compliancearbetet steg för steg.

FAQ

Vad räknas som en personuppgiftsincident enligt GDPR?

En personuppgiftsincident är varje säkerhetsincident som leder till oavsiktlig eller otillåten åtkomst, förlust, förstöring eller spridning av personuppgifter. Det inkluderar dataintrång, felskickade mejl, stulna enheter och ransomware-angrepp.

Måste vi alltid anmäla en personuppgiftsincident till IMY?

Nej, anmälningsplikten gäller när incidenten sannolikt medför risk för de berördas rättigheter och friheter. Om risken bedöms som osannolik räcker det med intern dokumentation, men dokumentationen är alltid obligatorisk.

Vad händer om vi missar 72-timmarsfristen?

En försenad anmälan kan leda till sanktionsavgifter från IMY, även om incidenten i sig var begränsad. Det är alltid bättre att göra en ofullständig initial anmälan i tid och komplettera den senare.

Vad ska en IMY-anmälan innehålla?

Anmälan ska beskriva incidentens art, vilka kategorier och ungefärligt antal registrerade som berörs, sannolika konsekvenser samt vilka åtgärder som vidtagits eller planeras. En ofullständig anmälan kan kompletteras i efterhand.

Måste vi informera de personer vars uppgifter berörs?

Ja, om incidenten sannolikt innebär hög risk för de berördas rättigheter och friheter. Informationen ska vara klar, konkret och innehålla råd om vad de drabbade kan göra för att skydda sig.

Rekommendation

Mer att upptäcka

Chefen går igenom internkontrollhandlingar vid sitt skrivbord.
Akademi
Rollen av internkontroll: chefers guide 2026
Upptäck rollen av internkontroll: en chefsguide för 2026. Lär dig hur du säkerställer regelefterlevnad och stärker din organisation!
Läs mer
juni 12, 2026
En kvinna granskar dokument om GDPR och riktlinjer för cookies.
Akademi
Cookies och spårning på webbsidor: krav och regler 2026
Få koll på reglerna om Cookies och spårning på webbsidor 2026. Lär dig rätta till informerade samtycken och lagkrav nu!
Läs mer
juni 11, 2026
Dataskyddsombudet ser över och kvalitetssäkrar företagets GDPR-rutiner och dokumentation.
Akademi
Dataskyddsombudets roll: ansvar och uppgifter enligt GDPR
Upptäck vad är dataskyddsombudets roll enligt GDPR. Lär dig om ansvaret och arbetsuppgifterna som stöder din organisations efterlevnad.
Läs mer
juni 10, 2026
Compliance with less effort

Upptäck mer inom området

TrustView kostnadsfritt i 30 dagar!

Compliance är inget du måste älska, men det är något som måste bli gjort. Testa kostnadsfritt innan du bestämmer dig!

Detta fält är dolt när formuläret visas