Incident Response Procedure — Incidenthanteringsrutin
Document type: Personal-data breach procedure (Art. 33–34 GDPR; NIS2 Directive (EU) 2022/2555 alignment) Primary language: English. Swedish translation follows below.
English
1. Purpose and scope
This procedure governs how ABN detects, contains, reports and learns from personal-data breaches and security incidents. It covers the ABN software, the customer Node and ABN's own infrastructure.
Because ABN holds no copy of customer data (local execution), the most severe class — central exfiltration of customer data — is architecturally precluded. This procedure nonetheless treats every incident seriously.
2. Roles
| Role | Responsibility |
|---|---|
| Incident Lead | Owns the incident end to end; decides on notification |
| Security Engineer | Containment, forensics, root cause |
| Legal/DPO contact | Art. 33/34 assessment; legal@abnai.se |
| Customer liaison | Keeps the affected customer(s) informed |
3. Detection
Incidents surface through: the customer-owned audit tables and
HMAC-signed attestations (any tampering is detectable); the
abn-security anomaly detector; the supervisor health checks;
kill-switch activations (each is logged and alerts); and customer
reports.
4. Severity classification
| Level | Definition | Example |
|---|---|---|
| SEV-1 | Confirmed personal-data breach | identifiable data exposed |
| SEV-2 | Security incident, no confirmed data exposure | sandbox escape attempt blocked |
| SEV-3 | Degraded control / near miss | expired mTLS cert denied a service |
5. The 72-hour timeline (Art. 33)
T+0h Detection. Incident Lead assigned. Containment begins.
T+0–4h Triage: scope, severity, whether personal data is involved.
T+4–24h Containment confirmed; forensic evidence preserved;
affected customers/controllers notified so THEY can meet
their own Art. 33 duty (ABN is the processor).
T+≤72h If a personal-data breach: the controller notifies the
supervisory authority (in Sweden: IMY) within 72 hours of
becoming aware. ABN, as processor, notifies the controller
"without undue delay" (Art. 33(2)) — in practice within 24h.
Ongoing Art. 34: if high risk to data subjects, the controller
informs the data subjects without undue delay.
Processor duty: ABN does not notify the supervisory authority itself — it notifies the controller without undue delay and provides all information the controller needs for its own notification (nature of the breach, categories and approximate numbers, likely consequences, measures taken).
6. Containment and eradication
Pause/stop affected agents from the dashboard; activate the
abn-security kill-switch for any affected sandbox; rotate mTLS
certificates and any affected secrets; if a connector is implicated,
disable it (enabled = false). Preserve audit tables and attestations
as evidence before any remediation.
7. Notification content (to the controller)
Per Art. 33(3): description of the breach; categories and approximate
number of data subjects and records; contact point (legal@abnai.se);
likely consequences; measures taken or proposed.
8. Post-incident review
Within 10 working days a written review records: timeline, root cause, what worked, corrective actions, and whether the DPIA / threat model needs updating. Every SEV-1/SEV-2 review updates this procedure.
9. Register
All incidents are logged in an internal incident register (Art. 33(5) documentation requirement), retained for at least 2 years.
Svenska
1. Syfte och omfattning
Rutinen styr hur ABN upptäcker, begränsar, rapporterar och lär av personuppgiftsincidenter och säkerhetsincidenter. Den omfattar programvaran, kundens Nod och ABN:s egen infrastruktur.
Eftersom ABN inte har någon kopia av kunddata (lokal exekvering) är den allvarligaste klassen — central exfiltrering — arkitektoniskt utesluten. Varje incident hanteras ändå med allvar.
2. Roller
Incidentansvarig (äger incidenten, beslutar om anmälan),
säkerhetsingenjör (begränsning, forensik, grundorsak), juridik/DSO
(legal@abnai.se), kundkontakt.
3. Upptäckt
Via kundägda revisionstabeller och HMAC-signerade attesteringar (manipu-
lering är upptäckbar), abn-security-anomalidetektorn, supervisorns
hälsokontroller, kill-switch-loggar samt kundrapporter.
4. Allvarsklassning
| Nivå | Definition |
|---|---|
| SEV-1 | Bekräftad personuppgiftsincident |
| SEV-2 | Säkerhetsincident utan bekräftad exponering |
| SEV-3 | Försämrad kontroll / tillbud |
5. 72-timmarslinjen (art. 33)
T+0h Upptäckt. Incidentansvarig utses. Begränsning inleds.
T+0–4h Triage: omfattning, allvar, om personuppgifter berörs.
T+4–24h Begränsning bekräftad; bevis säkras; berörda
ansvariga underrättas så att DE kan uppfylla sin art. 33-plikt.
T+≤72h Vid personuppgiftsincident: den ansvarige anmäler till
tillsynsmyndigheten (i Sverige: IMY) inom 72 timmar från
kännedom. ABN underrättar som biträde den ansvarige "utan
onödigt dröjsmål" (art. 33.2) — i praktiken inom 24 h.
Löpande Art. 34: vid hög risk informerar den ansvarige de
registrerade utan onödigt dröjsmål.
Biträdets plikt: ABN anmäler inte själv till tillsynsmyndigheten — ABN underrättar den ansvarige utan onödigt dröjsmål och lämnar all information som behövs för dennes anmälan.
6. Begränsning och åtgärd
Pausa/stoppa berörda agenter; aktivera kill-switch för berörd sandlåda; rotera mTLS-certifikat och berörda hemligheter; inaktivera berörd anslutning. Säkra revisionstabeller och attesteringar som bevis före åtgärd.
7. Anmälningens innehåll (till den ansvarige)
Enligt art. 33.3: beskrivning av incidenten; kategorier och ungefärligt
antal registrerade och poster; kontaktpunkt (legal@abnai.se);
sannolika konsekvenser; vidtagna eller föreslagna åtgärder.
8. Uppföljning
Inom 10 arbetsdagar dokumenteras tidslinje, grundorsak, korrigerande åtgärder och om konsekvensbedömningen behöver uppdateras.
9. Register
Alla incidenter förs in i ett internt incidentregister (art. 33.5), bevarat i minst 2 år.
Last updated: May 2026 · ABN AB · Questions: legal@abnai.se Senast uppdaterad: maj 2026 · ABN AB · Frågor: legal@abnai.se