Incidentrapportering är ett helt nytt krav som införs i GDPR. Något motsvarande krav finns inte i personuppgiftslagen och kravet kring incidentrapportering borde få även den mest luttrade VDn att skälva av fasa. Kravet innebär en skyldighet att, under vissa angivna förutsättningar, anmäla personuppgiftsincidenter till Datainspektionen inom 72 timmar från den personuppgiftsansvarige fick kännedom om incidenten. Om den personuppgiftsansvarige inte lyckas anmäla personuppgiftsincidenten inom 72 timmar ska den personuppgiftsansvarige motivera orsaken till förseningen. Kravet återfinns i art 33. Det införs därtill en skyldighet att informera den registrerade, dvs. den som uppgifterna tillhör, i de fall en personuppgiftsincident sannolikt leder till hög risk för de registrerades rättigheter och friheter, se art 34.

Att på så sätt tvinga företag och organisationer att blotta sin verksamhets brister inför tillsynsmyndigheten och de registrerade syftar bl.a. till att tvinga personuppgiftsansvariga att ta sitt personuppgiftsansvar på allvar. Förutom kraftiga sanktionsavgifter och skadestånd kan ett felande bolag därtill tvingas se sitt varumärke devalveras av allmänhetens och kundernas dom.

Vi kommer säkerligen de kommande åren få se företag gå under på grund av att deras varumärken förstörts efter en allvarlig personuppgiftsincident.