Dataskyddsförordningen, GDPR, innehåller inte bara regler om inhämtande och behandling av personuppgifter utan även omfattande regler för hur man som personuppgiftsansvarig är skyldig att hantera så kallade personuppgiftsincidenter. En personuppgiftsincident är kortfattat en händelse som leder till att inhämtade personuppgifter förstörs, förloras, förändras eller röjs, dvs att de av något skäl kommer i orätta händer. Det kan vara fråga om något som inträffat hos den personuppgiftsansvarige själv eller hos någon som är personuppgiftsbiträde åt denne, såsom exempelvis en IT-leverantör.