De flesta organisationer är i hög utsträckning beroende av sin information oavsett om den hanteras på papper, molnlagring, i dator, i nätverk eller annat. När information inte är korrekt eller behandlas fel kan det mycket snabbt leda till informationssäkerhetsincidenter som kan medföra exempelvis försening, avbrott eller att obehörig får insyn eller andra typer av skador. Om en sådan incident innehåller personuppgifter, så är incidenten att betrakta som en personuppgiftsincident där enskilda individers grundläggande fri- och rättigheter och rätt till integritet kan ha äventyras.
Rättsregler om dataskydd (krav och principer för behandling av personuppgifter) bygger på bestämmelser om mänskliga rättigheter och enskilda personers rätt till integritet. Dataskyddslagstiftningen bygger också på att EUs medlemsstater ska ha en gemensam grund att driva sina intressen utifrån och kunna verka utifrån avtal, konventioner och andra samarbeten där olika aktörer har så lika förutsättningar som möjligt.
För att förhindra hot, risker och felaktig hantering eller behandling av information så behöver organisationer införa styrning, regler och rutiner. Många organisationer söker stöd i informationssäkerhetsstandarden ISO 27001-serien. Informationssäkerhetsområdet kan anses vara något bredare än rättsregler inom dataskydd på grund av att disciplinen avser att skydda all information oavsett om det är personuppgifter eller inte.
EUs Dataskyddslagstiftning (2016/627) trädde i kraft den 25:e maj 2018. Nationell dataskyddslagstiftning kompletterar Eus dataskyddsförordning. I Sverige trädde Lag (2018:218) med kompletterande bestämmelser till EU:s Dataskyddslagstiftning i kraft samma datum som Eus dataskyddsförordning. I den här guiden kommer dataskyddslagstiftning användas och då åsyftas Eus dataskyddsförordning och den nationella kompletterande dataskyddslagstiftningen.