En personuppgiftsincident ska anmälas till IMY utan onödigt dröjsmål och senast inom 72 timmar från det att du fått kännedom om den, om incidenten sannolikt medför en risk för de registrerades rättigheter och friheter. Kravet framgår av artikel 33 i dataskyddsförordningen och anmälan görs via IMY:s e-tjänst. Den här guiden går igenom vad som räknas som en incident, hur 72-timmarsklockan fungerar, när även de registrerade måste informeras och vad det interna incidentregistret ska innehålla. Behöver du en färdig arbetsrutin finns en separat mall för incidenthantering.
Viktigaste punkterna
- 72-timmarsfristen börjar löpa när organisationen får kännedom om incidenten – inte när den inträffade.
- Anmälan behövs inte om incidenten sannolikt inte medför någon risk för de registrerade (art. 33.1).
- Vid hög risk ska även de registrerade informeras utan onödigt dröjsmål (art. 34).
- Alla incidenter ska dokumenteras i ett internt register enligt art. 33.5 – även de som inte anmäls.
Personuppgiftsincident: definitionen i artikel 4.12
En personuppgiftsincident definieras i artikel 4.12 som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det är alltså inte bara dataintrång som räknas. Tre typer förekommer:
- Konfidentialitetsincident – uppgifter röjs eller nås av obehöriga (felskickat mejl, hackat konto).
- Integritetsincident – uppgifter ändras obehörigt eller oavsiktligt.
- Tillgänglighetsincident – uppgifter förloras eller blir otillgängliga (raderad databas, ransomware, förlorad laptop).
En krypterad, borttappad telefon där ingen kan nå uppgifterna medför sannolikt ingen risk och kräver då ingen anmälan. Samma telefon okrypterad är en anmälningspliktig incident.
När börjar 72-timmarsklockan?
Fristen startar när organisationen fått kännedom om att en incident inträffat, med rimlig grad av säkerhet. En kort inledande verifiering – att kontrollera att något faktiskt hänt – är tillåten, men du kan inte skjuta upp klockan genom att undvika att utreda. I praktiken innebär det att alla anställda måste veta hur en misstänkt incident rapporteras internt, direkt.
Missar du 72-timmarsfristen ska anmälan ändå göras, men då åtföljd av en motivering till förseningen (art. 33.1). En sen anmälan är bättre än ingen.
Så anmäler du till IMY
Anmälan görs via IMY:s e-tjänst för personuppgiftsincidenter. Enligt artikel 33.3 ska anmälan minst innehålla:
- Vad som hänt – incidentens art, vilka kategorier av uppgifter och registrerade som berörs och ungefär hur många.
- Kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt.
- Sannolika konsekvenser av incidenten.
- Vidtagna och planerade åtgärder, inklusive åtgärder för att begränsa skadan.
Har du inte all information inom 72 timmar får du anmäla i etapper (art. 33.4). Anmäl det du vet i tid och komplettera efterhand.
När måste de registrerade informeras?
Om incidenten sannolikt leder till en hög risk för de registrerades rättigheter ska de informeras direkt, enligt artikel 34.1. Informationen ska vara på klart och tydligt språk och beskriva vad som hänt, vem de kan kontakta och vilka åtgärder som vidtagits. Undantag finns i artikel 34.3, bland annat om uppgifterna var krypterade eller om efterföljande åtgärder gjort att den höga risken inte längre är sannolik.
Skillnaden är alltså: anmälan till IMY sker redan vid risk, medan information till de registrerade krävs först vid hög risk. Bedömningen av hög risk ska göras utifrån de registrerades perspektiv – vilka konsekvenser kan incidenten få för dem i form av identitetsstöld, ekonomisk skada, diskriminering eller kränkning? Ju känsligare uppgifter och ju fler drabbade, desto mer sannolikt att tröskeln för hög risk är nådd. Att i efterhand kunna visa hur riskbedömningen gjordes är minst lika viktigt som själva slutsatsen, eftersom IMY vid en granskning prövar resonemanget och inte bara utfallet.
Det interna incidentregistret
Artikel 33.5 kräver att den personuppgiftsansvarige dokumenterar alla personuppgiftsincidenter – inklusive de som bedömts som riskfria och därför inte anmälts. Registret ska innehålla omständigheterna kring incidenten, dess effekter och de åtgärder som vidtagits. Syftet är dubbelt: det gör att IMY kan kontrollera efterlevnaden, och det tvingar organisationen att fatta ett dokumenterat beslut om varför en incident inte anmälts. Registret bör kopplas till din registerförteckning så att det framgår vilka behandlingar som drabbats.
Trygg-Hansa: 35 miljoner i sanktionsavgift
Det tydligaste svenska exemplet på vad bristande säkerhet kostar är IMY:s beslut mot försäkringsbolaget Trygg-Hansa 2023, med en sanktionsavgift på 35 miljoner kronor. En säkerhetsbrist i bolagets webbmiljö gjorde att känsliga uppgifter om cirka 650 000 kunder – bland annat personnummer och uppgifter om försäkringar – låg oskyddade och åtkomliga för obehöriga under lång tid. IMY bedömde att bolaget brutit mot säkerhetskravet i artikel 32. Fallet visar att en incident sällan står ensam: den bakomliggande orsaken är ofta en brist i de tekniska och organisatoriska säkerhetsåtgärderna.
När leverantörer är inblandade är ansvarsfördelningen avgörande. Ett personuppgiftsbiträde ska enligt artikel 33.2 underrätta den ansvarige utan onödigt dröjsmål efter att ha fått kännedom om en incident – ett krav som ska vara reglerat i personuppgiftsbiträdesavtalet. I praktiken är det ofta leverantören som först upptäcker en incident, eftersom den driver systemen. Om avtalet saknar en tydlig frist och kontaktväg för sådan underrättelse riskerar den ansvariges 72-timmarsklocka att vara nästan utlöpt redan när informationen når fram. Reglera därför exakt hur snabbt biträdet ska larma, till vem och med vilket minimiinnehåll.
Merparten av alla anmälda incidenter i Sverige beror inte på avancerade dataintrång utan på enkla mänskliga misstag: fel mottagare på ett mejl, ett brev till fel adress, en felaktig behörighet. Det innebär att den mest kostnadseffektiva åtgärden ofta är intern utbildning och tydliga rutiner snarare än ny teknik. En organisation som tränar personalen att känna igen och rapportera incidenter snabbt vinner de avgörande timmarna.
Förbered dig innan det smäller
En anmälan inom 72 timmar går bara att klara om beslutsvägarna är bestämda i förväg. I praktiken behöver du: en känd intern rapporteringskanal, en person eller funktion (ofta dataskyddsombudet) som bedömer risken, och en mall för både IMY-anmälan och information till de registrerade. Organisationer som samlar incidenthantering, register och biträdesavtal i ett system – som Legiscope – får logg och spårbarhet på köpet, vilket underlättar när IMY begär att få se hur incidenten hanterades.
Vanliga frågor
Måste alla incidenter anmälas till IMY?
Nej. Anmälan krävs bara om incidenten sannolikt medför en risk för de registrerades rättigheter och friheter. En riskfri incident behöver inte anmälas, men ska ändå dokumenteras i det interna incidentregistret enligt artikel 33.5.
Vad händer om vi anmäler för sent?
Du ska ändå anmäla, men med en motivering till förseningen. En för sen eller utebliven anmälan är en självständig överträdelse som kan medföra sanktionsavgift enligt artikel 83.4 – upp till 10 miljoner euro eller 2 procent av den globala omsättningen.
Vem gör anmälan – vi eller vår leverantör?
Den personuppgiftsansvarige gör anmälan till IMY. Personuppgiftsbiträdet (leverantören) ska underrätta den ansvarige utan onödigt dröjsmål, men anmäler inte själv till IMY. Detta ska framgå av biträdesavtalet.
Räknas en förlorad, krypterad laptop som en anmälningspliktig incident?
Om enheten är korrekt krypterad och uppgifterna därmed är oåtkomliga för obehöriga medför förlusten sannolikt ingen risk, och behöver då inte anmälas. Är enheten okrypterad är det däremot en anmälningspliktig incident.
Slutsats
72-timmarsregeln är ett av GDPR:s mest konkreta krav: från kännedom till anmälan har du tre dygn. Nyckeln är att skilja på risk och hög risk – risk utlöser anmälan till IMY, hög risk utlöser dessutom information till de registrerade. Trygg-Hansa-fallet påminner om att incidenten oftast är symptomet och säkerhetsbristen orsaken. Den organisation som bestämt sina rutiner, dokumenterar varje incident och kan visa hur den hanterats står stark även när det värsta redan hänt.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial