Incidentrapportering enligt biträdesavtal – vad gäller i praktiken?

Se som Markdown
3 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 25 mars 2026

Incidentrapportering är ett centralt krav i biträdesavtal enligt dataskyddsförordningen (GDPR). Men vad krävs egentligen och vad bör avtalet reglera? Incidenthantering handlar inte bara om regelefterlevnad – det handlar om att skydda de registrerade individerna från skada och att minimera risker för organisationen. Därför behöver både rutiner och ansvarsfördelning vara tydliga. Brister i rapporteringen kan få allvarliga konsekvenser, inte minst i form av sanktionsavgifter eller ryktesförluster.

  1. Tidsram för rapportering måste definieras
    Enligt artikel 33 GDPR ska personuppgiftsincidenter anmälas till tillsynsmyndigheten inom 72 timmar. Det innebär att personuppgiftsbiträdet måste rapportera till den personuppgiftsansvarige i god tid innan detta, ofta inom 24 timmar. Avtalet bör därför ange en exakt tidsfrist.
  2. Innehållet i en incidentrapport
    Rapporten måste vara tillräckligt detaljerad för att den personuppgiftsansvarige ska kunna bedöma riskerna. Det bör inkludera händelseförlopp, typer av uppgifter som berörts, berörda registrerade och föreslagna åtgärder.
  3. Rutiner för snabb åtgärd
    Ett biträdesavtal ska också reglera hur rapportering sker – inklusive kontaktvägar, ansvariga roller och tillgänglighet. Tydliga rutiner minskar risken för felbedömningar och förseningar i stunden – när en personuppgiftsincident inträffar behöver alla inblandade parter veta vad som förväntas av dem eftersom tiden är knapp.

För att en incidentrapportering ska fungera i praktiken räcker det inte med en bra skrivning i personuppgiftbiträdesavtalet – personal hos biträdet måste också veta hur de ska agera. Därför är det viktigt att avtalet kompletteras med interna instruktioner, utbildning och eventuellt checklistor. Många företag väljer att hålla övningar eller simuleringar för att säkerställa att processen fungerar under press.

Detta sparar värdefull tid när en verklig incident inträffar.

En annan aspekt som ofta förbises är dokumentationen av själva hanteringen. GDPR kräver att det dokumenteras hur en incident bedömts och vilka åtgärder som vidtagits. Därför bör avtalet innehålla krav på att biträdet bidrar till att upprätta en sådan dokumentation. Med tydliga roller, fasta tidsramar och beprövade rutiner blir incidentrapportering en förutsägbar process – inte en stressfaktor.

På Morling Consulting hjälper våra GDPR-jurister företag att utforma och granska biträdesavtal som uppfyller både regelverk och praktiska behov.

Porträtt av Felix Morling, jurist och legal consultant – författare till inlägget.

Artikel skriven av:

Felix Morling

Relaterade inlägg

Bilden visar en man i kostym framför ett nätverk som symboliserar juridiken.

14 april 2026

Så hanterar fintech-bolag känsliga personuppgifter rätt
Läs mer
bilden visar två jurister vid ett dokument och juridiska symboler.

8 april 2026

När är avtal en giltig rättslig grund enligt GDPR?
Läs mer

22 mars 2026

C-526/24: När blir en begäran om tillgång enligt GDPR ett missbruk?
Läs mer