En säkerhetsincident drabbar de flesta organisationer förr eller senare. Det kan vara en stulen laptop, ett phishing-mail som öppnades, en obehörig inloggning eller ett dataintrång hos en leverantör. Hur ni agerar de första timmarna avgör om konsekvenserna blir hanterbara eller eskalerar.
GDPR kräver att ni rapporterar personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från att ni fått kännedom — om incidenten sannolikt medför en risk för de registrerade. Det är en tight tidsgräns som förutsätter att ni vet vad ni ska göra och vem som ska göra det.
Här är ett enkelt mallflöde som fungerar för SME-bolag.
Steg 1: Identifiera och inneslut (0–2 timmar)
Så snart en misstänkt incident rapporteras ska en ansvarig person aktiveras. Det ska vara utpekat i förväg — inte beslutas i stunden.
Första åtgärden är att innesluta: begränsa skadan och förhindra att den sprids. Det kan innebära att stänga av ett konto, koppla bort en enhet från nätverket eller kontakta en leverantör.
Dokumentera vad som hänt, när det upptäcktes, och vem som vet om det.
Steg 2: Bedöm allvaret (2–8 timmar)
Inte alla säkerhetsincidenter kräver rapportering till IMY. Ni behöver bedöma: Har personuppgifter exponerats, förändrats eller förlorats? Vilka kategorier av uppgifter rör det sig om? Hur många personer berörs? Vad är den sannolika risken för de registrerade?
Känsliga uppgifter (hälsouppgifter, ekonomisk information, personnummer) väger tyngre. Krypterade uppgifter där ingen haft tillgång till nyckeln väger lättare.
Om bedömningen är oklar — kontakta juridisk rådgivare. Det är bättre att rapportera i onödan än att missa ett rapporteringskrav.
Steg 3: Rapportera om det krävs (inom 72 timmar)
Om incidenten bedöms innebära en risk för registrerade ska den anmälas till IMY via deras e-tjänst. Anmälan ska innehålla:
- Beskrivning av incidentens natur
- Kategorier och ungefärligt antal registrerade och uppgifter som berörs
- Sannolika konsekvenser
- Åtgärder som vidtagits eller planeras
Om ni inte hinner samla all information inom 72 timmar — rapportera ändå med det ni vet och komplettera sedan. IMY accepterar detta.
Steg 4: Informera de registrerade (om hög risk)
Om incidenten sannolikt innebär en hög risk för de registrerade — inte bara en risk, utan hög risk — ska ni också informera dem direkt. Det innebär ett klart och tydligt meddelande om vad som hänt, vilka uppgifter som berörs och vad de kan göra för att skydda sig.
Undantag: om uppgifterna var krypterade och inte åtkomliga, om ni vidtagit åtgärder som eliminerar risken, eller om individuell avisering kräver oproportionerliga insatser (t.ex. vid extremt stora datamängder utan kontaktuppgifter).
Steg 5: Dokumentera och lär (efter hantering)
Oavsett om incidenten krävde rapportering eller inte — dokumentera den internt. GDPR kräver att ni håller ett register över alla incidenter, även de som inte rapporterades och varför.
Håll en kort genomgång efteråt: vad hände, hur agerade vi, vad kan vi göra bättre? Det behöver inte vara ett projekt — 30 minuter med rätt personer räcker.
Malldokumentet ni behöver ha klart innan det händer
Skapa ett enkelt dokument med:
- Vem som aktiveras vid en incident (namn, telefonnummer)
- Kontaktuppgifter till IMY och er jurist
- Checklista för de fem stegen ovan
- Mall för intern dokumentation av incidenten
Lägg det på ett ställe alla chefer känner till. Hoppas att ni aldrig behöver det.