Personuppgiftsincident - Så hanterar du GDPR-krisen rätt

Sven-Åke Björk

Sven-Åke Björk

 |

22 april 2026

En kvinna med blont hår och blå ögon i mörk kavaj. Hon ler mot kameran, kanske efter att ha löst ett GDPR-incident.

En personuppgiftsincident är ett av de där lägena där juridik och vardag kolliderar snabbt: ett mejl går till fel mottagare, en fil blir öppen på fel plats, eller en laptop försvinner med känsliga uppgifter. I svensk kontext handlar det oftast om hur man bedömer risken, vad som måste anmälas och hur man agerar inom rätt tid. Här går jag igenom vad en GDPR-incident innebär, när den ska rapporteras, hur man bedömer allvaret och vilka misstag som brukar göra situationen onödigt mycket värre.

Det viktigaste att veta om en personuppgiftsincident

  • I juridisk mening är det en säkerhetsincident som påverkar personuppgifter, inte bara ett klassiskt dataintrång.
  • Om incidenten sannolikt innebär risk för personers rättigheter och friheter ska den anmälas till IMY inom 72 timmar.
  • Om risken är hög behöver de registrerade informeras utan onödigt dröjsmål.
  • Alla incidenter bör dokumenteras, även när anmälan inte krävs.
  • Biträdet ska rapportera snabbt till den personuppgiftsansvarige, men ansvaret för anmälan ligger kvar hos den personuppgiftsansvarige.

Vad en GDPR-incident faktiskt är

I svensk vardag säger man ofta GDPR-incident, men den juridiskt mer träffsäkra termen är personuppgiftsincident. Jag brukar tänka på det som en säkerhetsincident där personuppgifter har blivit förstörda, ändrade, förlorade eller hamnat hos fel person. Det spelar ingen roll om det var av misstag eller med avsikt; båda kan vara personuppgiftsincidenter.

Det viktiga är att förstå att en incident kan slå mot flera delar av dataskyddet samtidigt:

  • Konfidentialitet betyder att uppgifter röjs för någon som inte ska se dem.
  • Integritet betyder att uppgifter ändras utan rätt grund eller kontroll.
  • Tillgänglighet betyder att uppgifter går förlorade eller inte går att nå när de behövs.

Det är därför en feladresserad lönelista, en raderad elevfil eller ett intrång i ett rekryteringssystem alla kan landa i samma juridiska kategori. Nästa steg är inte att gissa, utan att avgöra om händelsen faktiskt måste anmälas.

När den ska anmälas till IMY

Utgångspunkten i GDPR är enkel: om incidenten sannolikt innebär risk för fysiska personers rättigheter och friheter ska den anmälas till tillsynsmyndigheten. I Sverige är det IMY som tar emot sådana anmälningar. Fristen är normalt 72 timmar från att ni fått vetskap om incidenten, inte från när den råkade inträffa.

Det här är en viktig distinktion. Jag ser ofta att organisationer tappar tid genom att först försöka få fram “alla fakta” innan de ens börjar bedömningen. Det är sällan klokt. Om ni inte har all information inom 72 timmar kan anmälan kompletteras senare, men det är bättre att agera snabbt och sakligt än perfekt och för sent.

Bedömning Typisk åtgärd Praktisk tolkning
Osannolik risk Dokumentera incidenten Ingen anmälan krävs, men händelsen ska ändå sparas i incidentloggen.
Risk för individen Anmäl till IMY Här räcker det att risken är sannolik, inte att skadan redan har inträffat.
Hög risk Anmäl till IMY och informera de registrerade Informera utan onödigt dröjsmål så att berörda kan skydda sig.

En korrekt anmälan behöver normalt beskriva incidentens art, ungefär hur många personer och uppgifter som berörs, kontaktpunkt, sannolika konsekvenser och vilka åtgärder som redan har vidtagits. Det är alltså inte bara en formell rapport, utan ett underlag för att visa att ni faktiskt har kontroll. Den logiken leder direkt till nästa fråga: hur avgör man om risknivån är hög eller låg?

Så bedömer jag risken för de registrerade

Jag brukar dela riskbedömningen i fyra frågor: vilka uppgifter rör det sig om, hur många personer berörs, vem kan ha fått tillgång till dem och hur väl skyddade var uppgifterna från början. Det är kombinationen som avgör, inte en enskild detalj. Ett öppet telefonnummer är sällan lika känsligt som ett läckt personnummer tillsammans med lön, hälsouppgifter eller inloggningsuppgifter.

Det här är de faktorer jag tycker väger tyngst:

  • Typ av uppgifter - personnummer, hälsa, ekonomiska uppgifter och inloggningsuppgifter höjer ofta risken.
  • Antal registrerade - ju fler som berörs, desto större blir både skadebilden och den praktiska spridningen.
  • Tillgänglighet för obehöriga - ett internt fel är inte lika allvarligt som en offentlig publicering eller ett intrång.
  • Skyddsåtgärder - kryptering, spärrar och snabb återkallelse kan minska konsekvenserna tydligt.
  • Möjlighet till missbruk - uppgifter som kan användas för bedrägeri eller identitetsstöld väger tyngre.

Konsekvenserna för den enskilde kan vara allt från enkel olägenhet till ekonomisk skada, identitetsstöld, diskriminering eller skadlig ryktesspridning. Det är därför jag inte gillar att beskriva incidenter som “bara tekniska”. För den som drabbas är de nästan aldrig bara tekniska. När risken är bedömd återstår det mer operativa: vad gör man direkt efter upptäckten?

Flödesschema som visar när och hur en personuppgiftsincident ska anmälas. En incident som riskerar fri- och rättigheter ska anmälas.

Steg för steg när något händer

När en incident upptäcks spelar minuter och tydlighet större roll än snygga rutiner på papper. Jag tänker i fem steg: begränsa, utreda, bedöm, rapportera och dokumentera. Om organisationen redan har en ansvarskedja går allt snabbare, men även utan den går det att agera strukturerat.

  1. Stoppa spridningen - stäng åtkomst, återkalla länkar, lås konton eller isolera systemet om det behövs.
  2. Säkra bevis - spara loggar, tidpunkter och versionshistorik innan något skrivs över eller försvinner.
  3. Ta reda på vad som hände - var uppgifterna förstörda, förlorade, ändrade eller röjda för fel mottagare?
  4. Bedöm risknivån - avgör om incidenten sannolikt kräver anmälan och om de registrerade också måste informeras.
  5. Dokumentera och följ upp - skriv ner beslut, åtgärder och vad ni ändrar för att undvika upprepning.

Om ett personuppgiftsbiträde är inblandat ska det underrätta den personuppgiftsansvarige utan onödigt dröjsmål. Det betyder i praktiken att leverantörskedjan måste vara lika tydlig som den interna incidentrutinen. Annars blir ansvarsfrågan dimmig precis när man behöver den som mest. Och det är just där många organisationer snubblar.

Vanliga misstag som förvärrar läget

De dyraste misstagen är sällan tekniskt avancerade. De är ofta organisatoriska. Jag ser framför allt fem återkommande problem:

  • Man väntar för länge på fullständig klarhet och missar 72-timmarsfristen.
  • Man tror att ett felmeddelande eller ett borttappat USB-minne är för litet för att räknas.
  • Man glömmer att biträdet måste rapportera snabbt, men att ansvaret för anmälan ändå ligger kvar hos verksamheten.
  • Man dokumenterar för lite och kan senare inte visa vad som faktiskt bedömdes eller åtgärdades.
  • Man informerar de registrerade för sent eller för vagt när risken är hög.

I HR-, utbildnings- och ekonomirelaterade miljöer är det här extra känsligt, eftersom uppgifterna ofta innehåller identitetsuppgifter, löneunderlag, betyg eller annan information som lätt kan missbrukas. Det gör att även små misstag kan få oproportionerligt stora följder. Därför blir nästa punkt mer relevant än många tror: vad en svensk verksamhet tjänar på att bygga upp sin beredskap i förväg.

Så bygger du ett bättre incidentarbete innan något händer

Den bästa GDPR-rutinen är den som redan finns när det brinner. Jag hade prioriterat följande, särskilt i små och medelstora verksamheter där samma person ofta ansvarar för både drift och administration:

  • En tydlig kontaktväg för incidenter, så att alla vet vem som ska larmas först.
  • En enkel intern checklista för bedömning, anmälan och dokumentation.
  • Striktare åtkomstkontroller för löner, personnummer, elevdata och rekryteringsmaterial.
  • Kryptering och säkra delningslösningar när känsligare uppgifter måste transporteras.
  • Återkommande utbildning, eftersom feladresserade mejl och öppna länkar fortfarande är förvånansvärt vanliga.
  • Genomtänkta avtal och processer med personuppgiftsbiträden, så att rapporteringskedjan fungerar direkt.

Det här handlar inte bara om att undvika en myndighetskontakt. Vid allvarliga överträdelser kan sanktionerna i EU nå upp till 20 miljoner euro eller 4 procent av den globala årsomsättningen, beroende på vad som är högst. Men i praktiken är den största kostnaden ofta förtroendet som går förlorat och tiden som krävs för att bygga upp ordningen igen. Om jag ska sammanfatta det i en mening: behandla varje personuppgiftsincident som en tidskritisk ledningsfråga, inte som ett administrativt efterarbete.

Vanliga frågor

En personuppgiftsincident är en säkerhetsincident som påverkar personuppgifter, till exempel att de förstörs, förloras, ändras eller röjs för obehöriga. Det spelar ingen roll om det sker av misstag eller med avsikt.
Om incidenten sannolikt innebär en risk för fysiska personers rättigheter och friheter ska den anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från det att ni fått vetskap om den.
Bedöm risken utifrån typ av uppgifter, antal berörda, tillgänglighet för obehöriga, skyddsåtgärder och möjlighet till missbruk. Känsliga uppgifter som personnummer eller hälsoinformation ökar risken.
Ja, om personuppgiftsincidenten sannolikt leder till en hög risk för de registrerades rättigheter och friheter måste de informeras utan onödigt dröjsmål, utöver anmälan till IMY.
Vanliga misstag inkluderar att vänta för länge med anmälan, underskatta allvaret, glömma biträdets roll, bristfällig dokumentation och att informera de registrerade för sent eller otydligt.

Betygsätt artikeln

Genomsnitt: 0.0 / 5 · 0 betyg

Taggar

gdpr incident gdpr-incident hantering anmäla personuppgiftsincident imy riskbedömning personuppgiftsincident vad är en personuppgiftsincident

Dela inlägget
Autor Sven-Åke Björk
Sven-Åke Björk
Jag är Sven-Åke Björk, en erfaren branschanalytiker med över tio års engagemang inom ekonomi, utbildning och karriärutveckling. Under min karriär har jag fokuserat på att analysera marknadstrender och utbildningssystem, vilket har gett mig en djup förståelse för hur dessa områden samverkar och påverkar individers karriärmöjligheter. Min specialisering ligger i att förenkla komplex data och presentera den på ett lättförståeligt sätt, vilket jag anser är avgörande för att hjälpa läsare att fatta informerade beslut. Jag strävar alltid efter att erbjuda objektiv analys och faktakontroll, vilket stärker min förmåga att leverera pålitlig information. Mitt mål är att tillhandahålla aktuella och objektiva insikter som kan vägleda läsare i deras ekonomiska och karriärrelaterade val. Jag är dedikerad till att skapa innehåll som inte bara informerar, utan också inspirerar till personlig och professionell utveckling.

Kommentarer (0)

Lägg till en kommentar