Enligt förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, måste man dokumentera incidenten och anmäla den till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att institutioner/motsvarande som behandlar personuppgifter har tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. 

Personuppgiftsincidenten ska omgående rapporteras till universitetets dataskyddsombud (dso@su.se) som i sin tur är den som rapporterar till Datainspektionen.