Om incidenten kan leda till att de registrerade utsätts för allvarliga risker, så måste din organisation underrätta tillsynsmyndigheten om så är möjligt inom 72 timmar från upptäckten. I vissa fall måste även de registrerade underrättas om riskerna. Detta regleras i Dataskyddsförordningens artiklar 33 och 34.

I samband med att en personuppgiftsincident inträffar i din organisation, så kan tillsynsmyndigheten göra en tillsyn av din verksamhet. I det läget är din dokumentation en viktig försäkring för att minska risken för tunga lagliga sanktioner.