Dataskydd

Rutin vid personuppgiftsincident: mall och register

Rutin vid personuppgiftsincident: en färdig intern process med 72-timmars beslutsträd och en mall för incidentregistret enligt artikel 33.5 GDPR.

Also available in:Français·Deutsch

En rutin vid personuppgiftsincident ska beskriva hela kedjan från upptäckt till avslut: hur en incident upptäcks och eskaleras, hur allvarligheten bedöms, hur beslutet att anmäla till IMY inom 72 timmar fattas, när de registrerade ska informeras och hur incidenten dokumenteras i incidentregistret enligt artikel 33.5. Den här sidan ger en färdig intern rutin med ett beslutsträd och en fält-för-fält-mall för registret. Vill du i stället ha den externa vägledningen om hur du anmäler till IMY, se anmäla personuppgiftsincident till IMY.

Sammanfattning

  • Rutinen ska säkra att 72-timmarsfristen (art. 33.1) hålls – klockan startar när ni fått kännedom om incidenten.
  • Varje incident ska dokumenteras i ett internt register (art. 33.5), även de som inte anmäls.
  • Vid hög risk för de registrerade ska de informeras utan onödigt dröjsmål (art. 34).
  • En förberedd rutin är skillnaden mellan en kontrollerad anmälan och panik under tidspress.

Varför en förberedd rutin är avgörande

Personuppgiftsincidenter uppstår oplanerat – ett felskickat mejl, ett dataintrång, en borttappad dator. Artikel 33.1 i dataskyddsförordningen ger er 72 timmar från kännedom att anmäla till tillsynsmyndigheten. Utan en förberedd rutin går de första timmarna åt till att lista ut vem som ska göra vad, och fristen riskeras. Rutinen ska därför vara nedskriven, känd i organisationen och testad i förväg.

Att en säkerhetsbrist kan bli mycket dyr visar Trygg-Hansa-fallet: IMY meddelade 2023 en sanktionsavgift på 35 miljoner kronor efter att en sårbarhet i försäkringsbolagets kundportal exponerat känsliga uppgifter om cirka 650 000 kunder – en brist i säkerheten enligt art. 32. En genomtänkt incidentrutin både minskar risken för sådana händelser och säkrar att de hanteras korrekt om de inträffar.

Rutinen: fem steg

Steg 1 – Upptäckt och rapportering

Alla medarbetare ska veta vart en misstänkt incident rapporteras – en dedikerad e-postadress eller ett internt formulär. Rapporten ska nå den incidentansvariga omedelbart. Ange en tydlig kontaktväg och en backup.

Steg 2 – Initial bedömning

Den incidentansvariga fastställer: Vad har hänt? Vilka uppgiftskategorier och hur många registrerade berörs? Är uppgifterna känsliga (art. 9)? Tidpunkten för kännedom noteras – det är då 72-timmarsklockan startar.

Steg 3 – Beslutsträd för anmälan

Har en personuppgiftsincident inträffat?
        │ Ja
        ▼
Är det osannolikt att incidenten medför risk
för de registrerades rättigheter?
   │ Ja → Ingen anmälan. Dokumentera i registret.
   │ Nej
   ▼
Anmäl till IMY inom 72 timmar (art. 33).
        │
        ▼
Medför incidenten HÖG risk?
   │ Ja → Informera även de registrerade (art. 34).
   │ Nej → Endast anmälan till IMY.

Steg 4 – Anmälan och information

Om beslutet blir anmälan görs den via IMY:s e-tjänst. Anmälan ska beskriva incidentens art, kategorier och ungefärligt antal berörda, sannolika konsekvenser och vidtagna åtgärder (art. 33.3). Är inte all information känd inom 72 timmar lämnas den i etapper. Vid hög risk informeras de registrerade i klarspråk.

Steg 5 – Dokumentation och uppföljning

Varje incident förs in i incidentregistret, oavsett om den anmälts eller inte. Efter avslut analyseras grundorsaken och åtgärder vidtas för att förhindra upprepning.

Mall: incidentregistret (art. 33.5)

Artikel 33.5 kräver att ni dokumenterar alla personuppgiftsincidenter internt, så att IMY kan kontrollera efterlevnaden. Registret ska minst innehålla:

Fält Beskrivning
Incident-ID Löpnummer
Datum och tid för upptäckt När ni fick kännedom
Beskrivning av incidenten Vad som hänt och hur
Typ av incident Sekretess-, riktighets- eller tillgänglighetsbrott
Berörda uppgiftskategorier Inkl. om känsliga uppgifter
Antal berörda registrerade Faktiskt eller uppskattat
Sannolika konsekvenser Bedömd risk för de registrerade
Vidtagna åtgärder För att begränsa skadan
Anmäld till IMY? Ja/nej + datum + diarienummer
Informerade registrerade? Ja/nej + datum + metod
Grundorsak och lärdom För att förhindra upprepning

Att föra registret är obligatoriskt även för incidenter ni bedömer som ofarliga – dokumentationen visar att ni gjort bedömningen.

Rutinen i ett större sammanhang

Incidentrutinen står inte ensam. Bedömningen av vilka uppgifter och registrerade som berörs bygger direkt på er registerförteckning – utan ett aktuellt register blir den initiala bedömningen en utredning i stället för en uppslagning. När en incident inträffar hos en leverantör ska era personuppgiftsbiträdesavtal ålägga biträdet att underrätta er utan onödigt dröjsmål (art. 33.2), så att er egen 72-timmarsfrist kan hållas. Dataskyddsombudet ska involveras i bedömningen och anges som kontaktpunkt i anmälan.

För organisationer som även omfattas av NIS2 i Sverige gäller parallella incidentrapporteringskrav med egna, kortare tidsfrister – rutinen bör då hantera båda regelverken samtidigt. Att hålla samman incidentregister, register och avtal manuellt är krävande; ett verktyg som Legiscope kan koppla incidenthanteringen till registret så att berörda behandlingar identifieras direkt.

Testa rutinen innan den behövs

En incidentrutin som aldrig har provats fungerar sällan när det gäller. Under en verklig incident råder tidspress, ofullständig information och ofta oro i organisationen – exakt de förhållanden under vilka en otestad rutin brister. Genomför därför ett skrivbordstest minst en gång om året: välj ett realistiskt scenario, till exempel ett felskickat massutskick med kunduppgifter eller en stulen laptop utan kryptering, och gå igenom rutinen steg för steg med de personer som faktiskt skulle vara inblandade.

Ett bra test svarar på frågor som annars upptäcks först i skarpt läge: Vet alla medarbetare vart de rapporterar en misstänkt incident? Är den incidentansvariga nåbar även utanför kontorstid? Hur snabbt kan ni faktiskt fastställa vilka registrerade som berörs? Har ni inloggning och behörighet till IMY:s e-tjänst redo, eller ska det ordnas mitt i krisen? Var och en av dessa detaljer kan kosta timmar av en 72-timmarsfrist om de inte är lösta i förväg.

Dokumentera testet och de brister det avslöjar, och uppdatera rutinen därefter. Ett genomfört och dokumenterat test är dessutom ett tydligt tecken på god styrning om IMY någon gång granskar er incidenthantering – det visar att rutinen inte bara existerar på papper utan är inövad. Knyt gärna testet till den årliga genomgången av registerförteckningen, så att rutinens antaganden om vilka behandlingar och uppgifter som finns fortfarande stämmer.

Vanliga frågor

När börjar 72-timmarsfristen löpa?

Fristen startar när ni får kännedom om incidenten – det vill säga när ni med rimlig säkerhet konstaterat att en personuppgiftsincident inträffat, inte vid den första vaga misstanken. En kort inledande verifiering är tillåten, men den får inte dras ut för att skjuta upp fristen. Klockan noteras i registret.

Måste alla incidenter anmälas till IMY?

Nej. Anmälan krävs bara om incidenten sannolikt medför en risk för de registrerades rättigheter (art. 33.1). Incidenter utan sådan risk – till exempel förlust av krypterade uppgifter där nyckeln är säker – behöver inte anmälas, men ska ändå dokumenteras i det interna registret enligt art. 33.5.

Vad är skillnaden mellan denna rutin och anmälningsguiden?

Den här sidan ger den interna processen – rutinen och registret ni bygger i förväg. Anmälningsguiden beskriver den externa handlingen: hur du fyller i och lämnar anmälan till IMY, vad som räknas som en incident och när de registrerade ska informeras. Använd rutinen för att förbereda och guiden i skarpt läge.

När måste de registrerade informeras?

Enligt art. 34 ska de registrerade informeras utan onödigt dröjsmål när incidenten sannolikt medför en hög risk för deras rättigheter – till exempel vid läckta lösenord, ekonomiska uppgifter eller känsliga uppgifter. Informationen ska vara i klarspråk och beskriva incidenten, sannolika konsekvenser och vidtagna åtgärder.

Slutsats

En incidentrutin är en beredskapsplan: den ska ligga färdig innan incidenten inträffar. Rutinen ovan säkrar att 72-timmarsfristen hålls, att beslutet att anmäla fattas systematiskt och att varje incident dokumenteras i registret enligt art. 33.5 – även de som inte anmäls. Koppla rutinen till registerförteckningen och biträdesavtalen, involvera dataskyddsombudet och testa processen i förväg. Trygg-Hansa-fallet visar priset för att inte ha kontroll på säkerheten.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →