NordVPN
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Ett dataintrång är sällan tydligt märkt som anmälningspliktigt eller inte. Här är hur ni bedömer om det är en personuppgiftsincident, vad 72-timmarsregeln kräver och vad som alltid ska dokumenteras.
När något gått fel med personuppgifter på hemsidan eller i kundregistret är den första frågan sällan hur allvarligt det är, utan om det är anmälningspliktigt. Den här sidan är ett beslutsstöd: hur ni avgör om en händelse är en personuppgiftsincident, varför 72-timmarsregeln styr tidslinjen, vad som alltid ska dokumenteras och när ni utöver en anmälan till IMY också måste kontakta de registrerade själva.
Enligt IMY är en personuppgiftsincident en säkerhetsincident som leder till att personuppgifter förstörs, går förlorade, ändras, röjs till obehöriga eller blir tillgängliga för någon som inte ska ha åtkomst. Det spelar ingen roll om det har skett med avsikt eller av misstag – ett felskickat mejl med kunduppgifter, en stulen dator med kundregister eller ett intrång hos en leverantör räknas alla som personuppgiftsincidenter så snart personuppgifter är inblandade. Notera att alla säkerhetsincidenter inte är personuppgiftsincidenter: ett kort driftavbrott utan att några uppgifter läckt eller påverkats är normalt inte anmälningspliktigt, men gör ändå bedömningen varje gång innan ni avfärdar händelsen.
Så snart ni fått vetskap om en möjlig personuppgiftsincident ska ni bedöma risken för de registrerades rättigheter och friheter. Om det inte är osannolikt att incidenten medför en sådan risk ska den anmälas till IMY, och utgångspunkten enligt GDPR artikel 33 är att anmälan ska göras inom 72 timmar från vetskapen om incidenten. Saknar ni all information vid det laget går det bra att komplettera anmälan i efterhand, men lämnar ni in sent eller ofullständigt ska ni motivera varför direkt i anmälan. Bedömer ni istället att risken är osannolik behöver ni inte anmäla, men det beslutet måste också gå att motivera i efterhand.
Innan ni öppnar IMY:s e-tjänst är det enklare att redan ha svaren på fem punkter framme, så att anmälan går snabbt även under tidspress:
Själva anmälan görs i IMY:s e-tjänst för att anmäla personuppgiftsincident, och myndigheten har en egen genomgång av vad som bör dokumenteras oavsett om ni anmäler eller inte.
Ett vanligt missförstånd är att dokumentation bara behövs när en incident faktiskt anmäls till IMY. Så är det inte: samtliga personuppgiftsincidenter ska dokumenteras internt, även de ni bedömer inte ska anmälas. Dokumentationen bör beskriva vad som hänt, varför det hänt, vilka personuppgifter och vilka registrerade som berörts, vilka konsekvenser incidenten fått eller riskerar att få, och vilka åtgärder ni vidtagit för att begränsa skadan. Skriv också ner skälen bakom era beslut – till exempel varför ni bedömt att risken är osannolik och att ingen anmälan behövs. Anlitar ni en extern leverantör, till exempel för drift, hosting eller en kunddatabas, gäller samma logik som för biträdesavtal enligt artikel 28: leverantören ska rapportera incidenten till er utan onödigt dröjsmål, men det är alltid ni som personuppgiftsansvariga som ansvarar för anmälan till IMY.
Utöver anmälan till IMY finns ett separat krav i GDPR artikel 34: bedömer ni att incidenten sannolikt leder till en hög risk för de registrerades rättigheter och friheter ska ni informera de berörda personerna direkt, och det ska ske utan onödigt dröjsmål. Syftet är att ge dem möjlighet att själva skydda sig, till exempel genom att byta lösenord eller bevaka sina konton. Faktorer som brukar väga tungt i bedömningen är hur känsliga uppgifterna är, hur många som drabbats, hur lätt uppgifterna kan användas för att identifiera eller skada en person, och om mottagaren av uppgifterna är okänd eller uppenbart illasinnad.
En anmälan till IMY handlar om er skyldighet enligt GDPR. En polisanmälan handlar istället om att en brottslig gärning kan ha begåtts, till exempel dataintrång. De två spåren ersätter inte varandra: att göra en polisanmälan om dataintrång befriar er inte från att också bedöma om händelsen är en personuppgiftsincident som ska anmälas till IMY, och en anmälan till IMY ersätter inte en polisanmälan om ni misstänker brott. Rör det sig om ett it-relaterat angrepp kan NCSC och CERT-SE ge tekniskt stöd i det akuta skedet, och en frivillig rapportering dit kan vara relevant även när ni saknar en särskild rapporteringsplikt gentemot dem.
Missa inte att 72-timmarsklockan börjar räkna redan när ni får vetskap om en möjlig incident, inte när utredningen är klar. Är ni osäkra på om något ska anmälas: dokumentera bedömningen ändå, och kontakta IMY eller en jurist innan fristen löper ut snarare än att gissa. En polisanmälan vid exempelvis dataintrång ersätter aldrig en anmälan till IMY när GDPR-kraven är uppfyllda.
Nej. Ni ska bara anmäla incidenten om det inte är osannolikt att den medför en risk för de registrerades fri- och rättigheter. Bedömer ni att risken är osannolik behöver ni inte anmäla, men beslutet ska motiveras och dokumenteras.
En säkerhetsincident som leder till att personuppgifter förstörs, går förlorade, ändras eller blir tillgängliga för obehöriga, oavsett om det skett avsiktligt eller av misstag.
Ni kan fortfarande lämna in anmälan, men ska då motivera förseningen i anmälan till IMY. Går det inte att få fram all information i tid går det bra att komplettera anmälan i efterhand.
När ni bedömer att incidenten sannolikt leder till en hög risk för de registrerades rättigheter och friheter. Då ska informationen lämnas till dem utan onödigt dröjsmål, som ett komplement till anmälan.
Nej. En polisanmälan handlar om ett misstänkt brott, medan en anmälan till IMY handlar om GDPR-skyldigheten. De är två separata spår, och den ena ersätter aldrig den andra.
Rangordningen bygger på vad våra besökare oftast väljer när de går vidare till ett verktyg. Jämför alltid pris och funktioner innan du bestämmer dig. Länkarna nedan är annonslänkar.
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Lösenordshanterare för team med säker delning av inloggningar och bevakning av läckta uppgifter, utan att lösenord mejlas eller återanvänds.
Passar: Fler än en person som behöver dela inloggningar till samma tjänster.
Rankningen speglar besökarnas vanligaste val och redaktionell bedömning, inte ett oberoende test. Vi kan få provision när du tecknar avtal via våra annonslänkar – det påverkar inte vilka fakta eller reservationer vi lyfter.
Säkerhetsverktyg 2026För lösenord, nätverk & dataskydd
Se listan