När startar 72-timmarsklockan?

Klockan börjar när organisationen får 'vetskap' om incidenten enligt GDPR Art. 33.1 — vilket EDPB tolkar som när det finns rimlig säkerhet att en säkerhetsincident inträffat som påverkar personuppgifter. Det är inte detsamma som när incidenten faktiskt började eller när första larmet kom in. Praktiskt: när IT-avdelningen kan bekräfta att personuppgifter berörs, startar klockan — även om utredningen av omfattningen pågår.

Måste alla incidenter anmälas till IMY?

Nej. Anmälningsplikt gäller enbart om incidenten 'sannolikt medför en risk för fysiska personers rättigheter och friheter' (Art. 33.1). En incident som påverkar få personuppgifter av icke-känslig art, eller där data var krypterad med korrekt nyckelhantering (så obehörig åtkomst i praktiken inte är möjlig), kan bedömas som låg risk och behöver inte anmälas. Däremot ska ALLA incidenter dokumenteras internt enligt Art. 33.5 — även de som inte anmäls. Dokumentationen ska motivera varför anmälan inte gjordes.

Vad ska anmälan till IMY innehålla?

Enligt GDPR Art. 33.3 ska anmälan minst innehålla: (a) beskrivning av incidentens art, inklusive kategorier och ungefärligt antal berörda registrerade och uppgifter, (b) namn och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt, (c) sannolika konsekvenser av incidenten, och (d) vidtagna eller föreslagna åtgärder för att hantera incidenten och mildra negativa effekter. Anmälan görs via IMY:s e-tjänst på imy.se. Om all information inte finns inom 72 timmar går det att komplettera senare — men anmäl ändå med det ni vet.

När måste vi informera de drabbade?

Enligt GDPR Art. 34 ska de registrerade informeras 'utan onödigt dröjsmål' när incidenten sannolikt leder till hög risk för deras rättigheter och friheter. Exempel på hög risk: identitetsstöld, ekonomisk skada, ryktesförlust, diskriminering, eller läckage av känsliga personuppgifter (hälsa, sexuell läggning, politiska åsikter). Informationen ska vara klar och enkel — inte juridiskt språk — och innehålla minst kontaktpunkt, sannolika konsekvenser och vidtagna åtgärder. Vid stort antal drabbade kan information via offentlig kommunikation (pressmeddelande) ersätta individuell information.

Vad är skillnaden mellan personuppgiftsansvarig och biträde vid incident?

Personuppgiftsansvarig (ni) anmäler till IMY och informerar de drabbade. Personuppgiftsbiträdet (er leverantör) ska enligt Art. 33.2 underrätta ER 'utan onödigt dröjsmål' efter att ha fått vetskap om incidenten — typiskt inom 24-48 timmar enligt branschpraxis och PUB-avtalets specifika villkor. Biträdet anmäler inte direkt till IMY. Detta är därför ert PUB-avtal måste ha tydliga rutiner för incidentrapportering från biträde till ansvarig.

Vad händer efter att anmälan skickats in?

IMY tar emot anmälan och bedömer om tillsyn ska inledas. De flesta anmälningar leder inte till tillsyn — IMY använder anmälningar som datakälla och prioriterar baserat på allvar och systematiska brister. Om kompletteringar utlovats är ni själva ansvariga för att skicka in dem. Om ingen komplettering kommer inom 4 veckor kan IMY fatta beslut baserat på den befintliga informationen. Anmälan blir allmän handling efter inskickning, men kan delvis omfattas av sekretess.

Vad gäller om vi också omfattas av NIS2 / Cybersäkerhetslagen?

Då har ni parallella rapporteringsskyldigheter. Cybersäkerhetslagen (SFS 2025:1506) som trädde i kraft 15 januari 2026 kräver: (1) tidig varning till sektors-CSIRT eller MCF inom 24 timmar vid betydande incident, (2) incidentanmälan inom 72 timmar, och (3) slutrapport inom 1 månad. Detta är OAVSETT om incidenten också är en personuppgiftsincident. Vid kombinerade incidenter (vanligt vid ransomware) krävs båda anmälningarna — varför processen behöver vara koordinerad mellan IT-säkerhet och dataskydd.

Hur länge ska incidentregistret bevaras?

GDPR specificerar ingen exakt bevarandetid för incidentregistret (Art. 33.5). Praxis är att bevara minst 7 år — samma som bokföringslagens krav — för att kunna visa efterlevnad vid framtida tillsyn. Vissa branschspecifika regelverk kan ha längre krav. Registret ska vara åtkomligt för tillsynsmyndighet på begäran och innehålla: fakta om incidenten, dess effekter, bedömningsmotivering (anmäldes/anmäldes inte), och vidtagna korrigerande åtgärder.

Personuppgiftsincident 2026: 72-timmars guide & mall

Q: Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det skett avsiktligt eller inte. Exempel: e-post med personuppgifter skickad till fel mottagare, stulen laptop med kundregister, ransomware-attack, felkonfigurerad molnlagring som exponerar data, eller obehörig anställd som tittar i journaler. En ren teknisk driftstörning utan att personuppgifter berörs är INTE en personuppgiftsincident.

Q: Vilka sanktioner riskerar vi vid utebliven anmälan?

Brott mot Art. 33 (anmälan) eller Art. 34 (information till registrerade) faller under den lägre sanktionsnivån enligt Art. 83.4: upp till 10 miljoner EUR eller 2% av global årsomsättning, det högre. IMY har utdömt sanktionsbeslut för både utebliven och försenad anmälan. Notera att sanktion för en incident utöver detta kan utdömas separat enligt Art. 83.5 (upp till 20M EUR / 4%) om den underliggande behandlingen bröt mot GDPR.

72 timmar. Det är hela tidsfönstret ni har på er att anmäla en personuppgiftsincident till IMY enligt GDPR Art. 33 — räknat från det ögonblick organisationen får vetskap om incidenten. Räckenskapet inkluderar inte bara arbetstid; helger och kvällar gäller också. För en svensk SMB innebär det att en fredag-kväll-incident kräver handling under helgen.

Denna guide är operativ — vad ni gör i de första timmarna, hur ni klassificerar risk, vad anmälan ska innehålla, när registrerade måste informeras, och hur ni dokumenterar för att stå emot framtida tillsyn. Källor: GDPR Art. 33-34, IMY:s vägledning om personuppgiftsincidenter, och EDPB Guidelines 9/2022. I slutet finns en färdig svensk incidentrapport-mall.

Vad är en personuppgiftsincident?

En personuppgiftsincident definieras i GDPR Art. 4.12 som en säkerhetsincident som leder till oavsiktlig eller olaglig:

Förstöring av personuppgifter
Förlust av personuppgifter
Ändring av personuppgifter
Obehörigt röjande av personuppgifter
Obehörig åtkomst till personuppgifter

Det spelar ingen roll om det skett avsiktligt eller inte. Den vanliga indelningen är i tre kategorier:

Konfidentialitetsincident: Obehörig åtkomst eller röjande. Exempel: e-post till fel mottagare, hackad databas, stulen laptop, obehörig anställd som tittar i journaler.

Integritetsincident: Otillåten ändring av uppgifter. Exempel: manipulerad data efter intrång, felaktig systemmigration som korrumperar register.

Tillgänglighetsincident: Förlust eller otillgänglighet. Exempel: ransomware som krypterar register, krasch utan backup, oavsiktlig radering.

Vad är INTE en personuppgiftsincident?

Teknisk driftstörning utan att personuppgifter berörs (t.ex. publik webbplats nere)
Förlust av krypterad enhet med korrekt nyckelhantering där dekryptering inte är genomförbar
Incidenter som drabbar uppgifter som inte är personuppgifter (t.ex. anonymiserad statistik)
Incidenter där ni är personuppgiftsbiträde — då anmäler ni till den personuppgiftsansvarige, inte direkt till IMY

De första 4 timmarna — vad ni gör NU

72-timmarsklockan tickar från det att ni får 'vetskap' om incidenten. EDPB tolkar detta som när det finns rimlig säkerhet att en säkerhetsincident inträffat som påverkar personuppgifter — inte när första larmet kom in eller när incidenten faktiskt började.

Praktiskt börjar de första timmarna med:

1. Aktivera incidentteam (0-30 min) Den som upptäcker incidenten kontaktar utsedd incidentchef eller dataskyddsombud. Om sådan roll saknas: VD eller säkerhetsansvarig. Kontaktuppgifter ska vara dokumenterade och tillgängliga — inte begravda i en intern wiki.

2. Isolera och stoppa (30 min - 2 h)

Koppla från drabbade system om så krävs
Återkalla inloggningar för komprometterade konton
Blockera vidare exfiltrering av data
Säkra bevis (loggfiler, minnesdumpar, åtkomstlistor) — använd skrivskyddade kopior

3. Fastställ omfattning (2-4 h)

Berörs personuppgifter? Vilka kategorier?
Hur många registrerade?
Vilka typer av uppgifter — vanliga eller känsliga (Art. 9)?
Har data exfiltrerats eller bara åtkomits?
Är data tillgängliga för obehöriga nu eller är åtkomsten stoppad?

4. Preliminär riskbedömning (inom 4 h) Klassificera enligt skalan låg / medium / hög risk för registrerade. Detta avgör om anmälan till IMY krävs (medium+) och om de drabbade ska informeras (hög).

5. Initiera anmälningsutkast (inom 8 h) Även om all information inte finns, börja fylla i IMY:s e-tjänst. Det går att komplettera senare. Att redan ha startat anmälan inom första dygnet är värdefull dokumentation om tillsyn senare ifrågasätter er tidshantering.

Riskbedömning — vad bestämmer om anmälan krävs?

Bedömningen utgår från risken för de registrerades rättigheter och friheter — inte hur stor it-påverkan är. Faktorer:

Typ av personuppgifter:

Vanliga personuppgifter (namn, e-post, adress): generellt låg-medium risk
Inloggningsuppgifter (lösenord, sessionscookies): medium-hög risk (kontoövertagande)
Ekonomiska uppgifter (kontonummer, kortuppgifter): hög risk
Känsliga uppgifter (Art. 9: hälsa, sexuell läggning, politiska åsikter, religion): nästan alltid hög risk
Barn-uppgifter: förhöjd risk
Brottsuppgifter (Art. 10): hög risk

Identifierbarhet:

Kan uppgifterna kopplas direkt till en person?
Räcker en kombination av uppgifter för identifiering?

Sannolika konsekvenser:

Identitetsstöld realistisk?
Ekonomisk skada möjlig?
Diskriminering eller stigmatisering?
Förlust av kontroll över egen data?

Antal drabbade och spridning:

Få personer vs. tusentals
Data spridd på internet/dark web vs. åtkomst av en specifik aktör

Maktobalans:

Sker incidenten i vård, skola, arbetsgivar- eller myndighetsrelation? → förhöjd risk
Är de registrerade i utsatt position? → förhöjd risk

Praktisk klassningsmatris

Bedömning	Anmälan till IMY	Information till drabbade
Osannolik risk	Nej (men dokumentera)	Nej
Risk	Ja, inom 72 h	Inte krävt (men bra praxis)
Hög risk	Ja, inom 72 h	Ja, utan onödigt dröjsmål

72-timmarsklockan — vad anmälan måste innehålla

Anmälan till IMY görs via deras e-tjänst för incidentanmälan. Enligt GDPR Art. 33.3 ska anmälan minst innehålla:

a) Beskrivning av incidentens art

Vad hände?
När upptäcktes incidenten? När bedöms den ha börjat?
Kategorier av berörda registrerade (kunder, anställda, barn?)
Ungefärligt antal berörda registrerade
Kategorier av berörda uppgifter (kontaktuppgifter, ekonomiska, känsliga?)
Ungefärligt antal berörda uppgiftsposter

b) Kontaktuppgifter

Namn och kontaktinformation till dataskyddsombud, om utsett
Annars annan kontaktpunkt där IMY kan få mer information

c) Sannolika konsekvenser

Vilken typ av risk för de registrerade?
Konkreta skadekategorier (identitetsstöld, ekonomisk skada, diskriminering, etc.)

d) Vidtagna eller föreslagna åtgärder

Vad har gjorts för att hantera incidenten?
Vad har gjorts för att mildra negativa konsekvenser?
Vilka tekniska och organisatoriska åtgärder förebygger upprepning?

Om information saknas inom 72 timmar

GDPR Art. 33.4 tillåter komplettering. Anmäl med det ni vet — markera tydligt att kompletteringar kommer. Var konkret om vad som saknas och när det kan väntas. Om ni inte hinner anmäla inom 72 timmar måste anmälan åtföljas av motivering till förseningen.

IMY skriver i sin vägledning: om ingen komplettering kommer inom 4 veckor kan de fatta beslut baserat på den initiala anmälan. Sätt påminnelser och fullfölj.

Information till de drabbade (Art. 34)

Vid hög risk för registrerades rättigheter och friheter ska de informeras "utan onödigt dröjsmål". Informationen ska enligt Art. 34.2 innehålla:

Klar och enkel beskrivning av incidentens art (inte juridiskt språk)
Namn och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt
Sannolika konsekvenser av incidenten
Vidtagna eller föreslagna åtgärder

Undantag från informationsplikten (Art. 34.3):

Lämpliga tekniska/organisatoriska åtgärder var implementerade (t.ex. korrekt kryptering)
Efterföljande åtgärder säkerställer att hög risk inte längre är trolig
Information skulle innebära oproportionell ansträngning — då räcker offentlig kommunikation (pressmeddelande, webb-banner)

Praktiska kanaler: e-post, fysisk post, push-notis i app, profilbanner i tjänsten. Vid massiva incidenter (tusentals drabbade): kombinera med pressmeddelande.

Internt incidentregister (Art. 33.5)

ALLA personuppgiftsincidenter ska dokumenteras internt — även de som bedöms inte kräva anmälan. Detta är ofta förbisett men en av IMY:s standard-tillsynsfrågor.

Registret ska innehålla:

Datum för incident och upptäckt
Beskrivning av incidenten (vad, hur, var)
Kategorier och antal av berörda registrerade och uppgifter
Konsekvenser för registrerade
Vidtagna åtgärder
Riskbedömning och motivering — varför anmäldes/anmäldes inte?
Eventuell anmälan till IMY (datum, ärendenummer)
Eventuell information till registrerade (datum, kanal)
Lärdomar och systemförbättringar

Förvaringstid: minst 7 år (jämställt med bokföringslagens krav). Registret ska vara åtkomligt för IMY vid tillsyn.

För att hitta säkerhetsbrister INNAN de blir incidenter — exponerade endpoints, felkonfigurerad TLS, osäkra säkerhetsheaders, externa skript som kan exfiltrera data — kan ni köra en säkerhetsskanning av sajten som ger en grundläggande indikation på er attackerbarhet.

Vanliga misstag i svenska SMB-incidenthantering

Baserat på IMY:s tillsynsbeslut och praktisk erfarenhet:

1. Stänger ned utan att säkra bevis. En vanlig första reaktion vid intrång är att "stänga av allt". Då försvinner ofta loggar och minnesinformation som är kritisk för utredning och anmälan.

2. Räknar inte arbetstid korrekt. 72-timmarsklockan inkluderar helger och kvällar. En fredag-kväll-incident kräver handling under helgen — eller dokumenterad motivering till varför inte.

3. Bedömer "osannolik risk" utan motivering. Många organisationer beslutar att inte anmäla men dokumenterar inte motiveringen. Då finns inget skydd vid tillsyn.

4. Glömmer information till drabbade. Fokus ligger på IMY-anmälan men Art. 34 (information till registrerade) glöms bort. Detta är en separat skyldighet vid hög risk.

5. Otydlig rollfördelning med biträden. PUB-avtalet anger inte hur snabbt biträdet ska rapportera till er. Branschpraxis är 24-48 timmar, men avtalet behöver vara explicit.

6. Saknar incidentregister över icke-anmälda incidenter. Bara anmälda incidenter dokumenteras. IMY frågar specifikt om detta vid tillsyn.

7. Försummar parallell NIS2-anmälan. Om verksamheten omfattas av Cybersäkerhetslagen krävs separat anmälan till sektors-CSIRT inom 24 timmar — vid sidan av GDPR:s 72 timmar.

8. Återanvänder mall utan att uppdatera fakta. Anmälan ska beskriva konkret denna incident — inte vara generisk text.

Sanktioner — vad det kostar att missa

Brott mot Art. 33 (anmälan) och Art. 34 (information till registrerade) faller under lägre sanktionsnivån enligt Art. 83.4: upp till 10 miljoner EUR eller 2% av global årsomsättning — det högre.

IMY har utdömt sanktionsbeslut för både:

Utebliven anmälan — när incident borde ha anmälts men inte gjordes
Försenad anmälan — när anmälan kom in efter 72 timmar utan giltig motivering
Bristfällig dokumentation — när incidentregistret saknades eller var otillräckligt

Om den underliggande behandlingen i sig bröt mot GDPR (t.ex. olaglig grund för behandling som ledde till incidenten), kan sanktion enligt Art. 83.5 utdömas separat — upp till 20M EUR eller 4%.

För en svensk SMB med 10-50 anställda är realistisk sanktionsnivå normalt 50 000 - 500 000 SEK för enskilda anmälningsöverträdelser, baserat på IMY:s historiska beslut. Stora bolag har sett betydligt högre sanktioner.

Anmälan enligt brottsdatalagen — separat process

För brottsbekämpande verksamheter (polis, åklagare, vissa myndigheter) gäller brottsdatalagen (2018:1177) parallellt med GDPR. Anmälan av personuppgiftsincident enligt brottsdatalagen görs via blankett (INTE e-tjänst) och skickas till:

Integritetsskyddsmyndigheten Box 8114 104 20 Stockholm

Skicka inte via e-post eftersom innehållet kan vara känsligt. För säkerhetsskyddslagen (2018:585) gäller ett tredje system — incidenter rapporteras enligt säkerhetsskyddsförordningen och föreskrifter, inte till IMY.

Färdig svensk incidentrapport-mall

Använd denna mall som internt arbetsdokument under de första 72 timmarna. Den följer strukturen i IMY:s e-tjänst och säkerställer att ni har all nödvändig information klar för anmälan.

``` INCIDENTRAPPORT — PERSONUPPGIFTSINCIDENT

Internt diarienummer: [t.ex. INC-2026-001] Status: [Utredning pågår / Anmäld till IMY / Avslutad utan anmälan] Senast uppdaterad: [DATUM TID]

IDENTIFIERING 1.1 Datum och tid för upptäckt: [YYYY-MM-DD HH:MM] 1.2 Datum och tid då incidenten började (om känt): [YYYY-MM-DD HH:MM] 1.3 Upptäckt av: [Namn, roll] 1.4 Källa till upptäckt: [Loggvarning / Anställdrapport / Extern anmälan / Kundärende / Annat] 1.5 72-timmarsdeadline: [YYYY-MM-DD HH:MM]
INCIDENTBESKRIVNING 2.1 Vad har hänt? [Faktabeskrivning, max 5 meningar] 2.2 Hur har det hänt? [Tekniskt eller organisatoriskt rotorsak om känt] 2.3 Kategori av incident: [Konfidentialitet / Integritet / Tillgänglighet / Kombination] 2.4 Pågår incidenten fortfarande? [Ja/Nej — om ja, vilka åtgärder pågår]
BERÖRDA PERSONUPPGIFTER 3.1 Kategorier av registrerade: [Kunder / Anställda / Leverantörers kontaktpersoner / Barn / Annat] 3.2 Ungefärligt antal registrerade: [N] 3.3 Typer av personuppgifter: [ ] Namn [ ] Kontaktuppgifter (e-post, telefon, adress) [ ] Identitetsuppgifter (personnummer, ID-handlingsnummer) [ ] Ekonomiska uppgifter (kontonummer, kortuppgifter) [ ] Inloggningsuppgifter (lösenord, sessions-tokens) [ ] Lokationsdata [ ] Beteendedata / användningsmönster [ ] Hälso- eller medicinska uppgifter (Art. 9) [ ] Andra känsliga uppgifter Art. 9 [ ] Brottsuppgifter (Art. 10) [ ] Barn-relaterade uppgifter 3.4 Ungefärligt antal uppgiftsposter: [N] 3.5 Är uppgifterna krypterade? [Ja/Nej — om ja, var nyckelhantering korrekt?]
RISKBEDÖMNING 4.1 Sannolika konsekvenser för registrerade: [ ] Identitetsstöld [ ] Ekonomisk skada [ ] Förlust av kontroll över egna uppgifter [ ] Diskriminering eller stigmatisering [ ] Ryktesförlust [ ] Annat: [_______] 4.2 Allvarsgrad: [Låg / Medium / Hög] 4.3 Motivering för bedömning: [Konkret resonemang]
BESLUT 5.1 Anmälan till IMY: [Ja inom 72h / Ja försenad / Nej, motivering nedan] 5.2 Motivering om inte anmäld: [Om "nej" ovan — varför?] 5.3 Information till registrerade: [Ja, kanal _____ / Nej, motivering nedan] 5.4 Motivering om ingen information: [Om "nej" ovan — varför?]
VIDTAGNA ÅTGÄRDER (Containment) 6.1 Tekniska åtgärder vidtagna:
- [Lista konkreta åtgärder med tidsstämplar] 6.2 Organisatoriska åtgärder vidtagna:
- [t.ex. information till anställda, ändrade rutiner] 6.3 Säkrade bevis:
- [Loggfiler, minnesdumpar, åtkomstlistor — datum för säkring]
FÖRESLAGNA ÅTGÄRDER (Eradication & Recovery) 7.1 Kortsiktiga (0-30 dagar): [Lista] 7.2 Långsiktiga (1-12 månader): [Lista] 7.3 Ansvarig för uppföljning: [Namn, roll] 7.4 Deadline för långsiktiga åtgärder: [YYYY-MM-DD]
KOMMUNIKATION 8.1 Internt informerade: [Ledning / IT-säkerhet / Dataskyddsombud / Juridisk / Anställda] 8.2 Externt informerade:
- IMY: [Datum / Ärendenummer]
- Registrerade: [Datum / Kanal / Antal]
- Andra (polis, leverantör, försäkring): [Detaljer]
UPPFÖLJNING OCH LÄRDOMAR 9.1 Vad ska göras annorlunda nästa gång? 9.2 Systemförbättringar identifierade: 9.3 Behov av utbildning eller rutinändring: 9.4 Inkluderas i nästa säkerhetsrevision: [Ja/Nej]

Undertecknat av: Incidentchef: ___________________ Datum: ___________ Dataskyddsombud (om utsett): ___________________ Datum: ___________ ```

Förebygg incidenter genom regelbunden granskning

De flesta personuppgiftsincidenter i svenska SMB-företag har en gemensam nämnare: kända säkerhetsbrister som inte hade åtgärdats. Exponerade administratörsgränssnitt, föråldrad TLS, saknade säkerhetsheaders som tillåter XSS, externa skript som körs utan integrity-kontroller.

En automatisk skanning av webbplatsen kan ge en snabb genomgång av dessa grundläggande risker. Northverify scannar 26 säkerhets- och compliance-områden inklusive TLS-konfiguration, säkerhetsheaders, externa tredjepartsskript, GDPR-relaterade tekniska kontroller och WordPress/Shopify-specifika sårbarheter — och visar konkret vad som behöver åtgärdas.

Relaterade artiklar

Personuppgiftsbiträdesavtal: guide + mall — Ett välskrivet PUB-avtal är fundamentet för korrekt incidenthantering med leverantörer
14 svenska lagar för webbplats-compliance 2026 — Översikt över hela det svenska regelverket inklusive incidentrapporteringskrav
NIS2 i Sverige 2026: Cybersäkerhetslagen — Om er verksamhet omfattas av NIS2 har ni parallella tidsfrister på 24h/72h/1 månad

Källor:

Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), särskilt artiklarna 33-34
IMY (Integritetsskyddsmyndigheten): Personuppgiftsincidenter — vägledning
IMY: Hantering av personuppgiftsincidenter
IMY: Så här arbetar IMY med personuppgiftsincidenter (statistik: 6 500 anmälningar 2024)
IMY: Anmäl personuppgiftsincident — e-tjänst
EDPB Guidelines 9/2022 on Personal Data Breach Notification under GDPR
Cybersäkerhetslagen (SFS 2025:1506) för parallella NIS2-rapporteringskrav

Senast uppdaterad: 2026-05-17. Innehållet är allmän vägledning och utgör inte juridisk rådgivning för enskilda fall.

Personuppgiftsincident: anmäl till IMY inom 72 timmar — komplett guide 2026

Vad är en personuppgiftsincident?

Vad är INTE en personuppgiftsincident?

De första 4 timmarna — vad ni gör NU

Riskbedömning — vad bestämmer om anmälan krävs?

Praktisk klassningsmatris

72-timmarsklockan — vad anmälan måste innehålla

Om information saknas inom 72 timmar

Information till de drabbade (Art. 34)

Internt incidentregister (Art. 33.5)

Vanliga misstag i svenska SMB-incidenthantering

Sanktioner — vad det kostar att missa

Anmälan enligt brottsdatalagen — separat process

Färdig svensk incidentrapport-mall

Förebygg incidenter genom regelbunden granskning

Relaterade artiklar

Skanna din webbplats — gratis

Relaterade artiklar

Personuppgiftsbiträdesavtal (PUB-avtal): komplett guide + mall 2026

14 svenska lagar för webbplats-compliance 2026: komplett guide

NIS2 i Sverige 2026: Cybersäkerhetslagen, omfattning och vad du måste göra