GDPR och IT-säkerhet – vad är ditt företag skyldigt att göra?

Vad GDPR faktiskt kräver av IT-säkerheten

GDPR (artikel 32) kräver "lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken". Det betyder att kraven är riskbaserade – inte fasta. Ett företag som hanterar känsliga personuppgifter (hälsa, ekonomi, barn) ska ha högre nivå än ett företag som bara hanterar e-post och fakturor.

Integritetsskyddsmyndigheten (IMY), som är tillsynsmyndighet i Sverige, delar upp säkerhetsåtgärderna i två kategorier:

Tekniska åtgärder: brandväggar, kryptering, pseudonymisering, säkerhetskopiering, antivirus, multifaktorautentisering (MFA), åtkomstkontroll, loggning.
‍
Organisatoriska åtgärder: dokumenterade rutiner, instruktioner till personalen, behörighetsöversyner, incidentplaner, utbildning, sekretessavtal.

I praktiken handlar tillsyn nästan alltid om båda delarna samtidigt. IMY har under 2023–2025 utfärdat sanktioner på flera miljoner kronor till svenska företag – nästan alltid med motiveringen att åtgärderna funnits "i policydokument men inte i verkligheten". Lagen är teknikneutral. Tillsynen är inte.

De sju säkerhetsåtgärder IMY kontrollerar först

När IMY granskar ett företag efter en incident eller anmälan tittar de oftast på sju områden: behörighetshantering, MFA, kryptering, loggning, backup, incidentrutiner och dokumentation. Saknas något av dessa – eller finns bara på pappret – är risken för sanktionsavgift hög.

Områdena, med konkret krav per punkt:

1. Behörighetshantering. Princip om minsta möjliga åtkomst (least privilege). Endast personer som behöver uppgifterna ska ha åtkomst. Översyn minst två gånger per år.
‍
2. Multifaktorautentisering. På alla konton med åtkomst till personuppgifter, särskilt molntjänster (Microsoft 365, Google Workspace) och fjärråtkomst.
‍
3. Kryptering. Vid både lagring (full disk encryption på laptops, krypterade backuper) och överföring (HTTPS, krypterad e-post för känsliga uppgifter).
‍
4. Loggning och övervakning. Vem har gjort vad i systemet? Loggar ska sparas, vara skyddade och regelbundet granskas.
‍
5. Säkerhetskopiering. Testad backup enligt 3-2-1-regeln (tre kopior, två format, en off-site). Återställning ska prövas årligen.
‍
6. Incidentrutiner. Skriftlig plan för hur en personuppgiftsincident hanteras. Anmälan till IMY ska ske inom 72 timmar.
‍
7. Dokumentation. Registerförteckning, riskanalyser, dataskyddspolicy, biträdesavtal med leverantörer.

Saknar ni någon av dessa idag är det inte ett misstag – det är en compliance-brist som blir dyr när det går fel.

Vad GDPR-böter och incidenter kostar svenska företag

Sanktionsavgiften enligt GDPR kan uppgå till 20 miljoner euro eller 4 procent av företagets globala omsättning, beroende på vilket som är högst. För ett svenskt SME med 50 miljoner kronor i omsättning är den realistiska sanktionsavgiften vid allvarlig överträdelse 500 000–2 000 000 kronor enligt IMY:s vägledande praxis. Men böterna är ofta inte den största kostnaden – det är incidenten i sig.

Enligt IBM Securitys årliga Cost of a Data Breach Report 2024 låg den genomsnittliga totalkostnaden för en personuppgiftsincident hos europeiska SME på 3,3 miljoner kronor per incident. Den fördelade sig typiskt på:

• Utredning och forensik: 600 000–1 200 000 kr
• Driftstopp och produktivitetsförlust: 800 000–1 500 000 kr
• Underrättelse av drabbade och kommunikation: 200 000–500 000 kr
• Juridiska kostnader och eventuell sanktionsavgift: 400 000–2 000 000 kr
• Kundbortfall och varumärkesskada: svår att kvantifiera, men ofta störst på lång sikt

Förebyggande arbete kostar i jämförelse 30 000–150 000 kronor om året för ett typiskt SME (licenser, MFA, backup, säkerhetsutbildning, dokumenterad incidentplan). Räknat på risk är det en av de tydligaste investeringarna i hela IT-budgeten.

NIS2 och cybersäkerhetslagen – gäller det ert företag?

Sveriges nya cybersäkerhetslag, som genomför EU-direktivet NIS2, trädde i kraft den 15 januari 2026. Lagen omfattar enligt huvudregeln företag med minst 50 anställda eller över 10 miljoner euro i årsomsättning som är verksamma inom 18 kritiska sektorer – bland annat energi, transport, hälso- och sjukvård, IT-tjänster, livsmedel, post och vissa typer av tillverkning. Mindre företag omfattas också om de är "väsentligt beroende" leverantörer till dessa sektorer.

Många svenska SME-företag upptäcker att de omfattas via leverantörskedjan: de levererar tjänster eller IT till en NIS2-organisation, och hamnar då under samma krav på säkerhetsåtgärder, riskhantering och incidentrapportering.

Cybersäkerhetslagen kräver i korthet:

Riskhantering – systematisk identifiering, analys och åtgärd av cyberrisker.
‍
Säkerhetsåtgärder – tekniska och organisatoriska, motsvarande GDPR-nivå men med tillägg för kontinuitet, leverantörsstyrning och åtkomsthantering.
‍
Incidentrapportering – en första anmälan till tillsynsmyndighet inom 24 timmar, fullständig rapport inom 72 timmar.
‍
Ledningsansvar – styrelse och VD är personligen ansvariga, ska utbildas och kan hållas ekonomiskt ansvariga.
‍
Sanktionsavgifter – upp till 10 miljoner euro eller 2 procent av global omsättning för väsentliga aktörer; 7 miljoner euro eller 1,4 procent för viktiga aktörer.

För SME utanför kritiska sektorer gäller fortsatt enbart GDPR. Men i praktiken blir NIS2-nivån snabbt standard i upphandlingar – många större kunder kräver att även mindre leverantörer kan visa motsvarande grundskydd.

Personuppgiftsincident – så ska den hanteras inom 72 timmar

En personuppgiftsincident är enligt GDPR ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av personuppgifter. Allt från en stulen laptop till ett felaktigt e-postutskick kan vara en incident.

Anmälan till IMY ska ske utan onödigt dröjsmål och senast 72 timmar efter att ni fått kännedom om incidenten – om den medför risk för de registrerades rättigheter och friheter. Detta är inte en rekommendation utan en lagkrav.

En fungerande incidentrutin för ett SME omfattar:

Tydlig kontaktperson – vem ringer personalen kl 22 en lördag när något händer?
‍
Beslutsmall för anmälan – när ska incidenten anmälas till IMY, när inte?
‍
Mallar – för incidentlogg, anmälan till IMY, kommunikation till drabbade och eventuellt media.
‍
Forensisk kapacitet – vem utreder vad som faktiskt hänt? Egen IT-partner eller en specialiserad incidentleverantör?
‍
Övning – minst en gång om året simuleras en incident så att rutinen testas.

Biträdesavtal – det som glöms och kostar mest

När ni använder en extern leverantör som hanterar personuppgifter åt er (molntjänst, IT-supportbolag, ekonomibyrå, lönesystem) ska ett personuppgiftsbiträdesavtal (DPA) finnas på plats. Det är en lagkrav enligt GDPR artikel 28 – inte en formalitet. Saknas avtalet är det ett av de vanligaste fynden vid IMY-tillsyn.

Ett korrekt biträdesavtal ska minst reglera:

• Vad leverantören får och inte får göra med uppgifterna
• Hur länge uppgifterna får lagras och var (EU/EES eller utanför)
• Säkerhetsåtgärder leverantören förbinder sig att vidta
• Anmälningsskyldighet vid incident hos leverantören
• Underbiträden (om leverantören anlitar tredje part)
• Vad som händer med uppgifterna vid avtalets upphörande

Särskild försiktighet krävs vid överföring till länder utanför EU/EES. EU-domstolens dom i Schrems II 2020 ogiltigförklarade Privacy Shield, och de efterföljande regelverken (EU-US Data Privacy Framework från 2023) gäller fortsatt endast under skiftande politiska förutsättningar. Hyr ni IT-tjänster där data lagras eller bearbetas i USA – kontrollera juridiken med jämna mellanrum.

Smartify har biträdesavtal som standard för alla våra IT- och installationstjänster, anpassade till svensk SME-verksamhet.

Var börjar ni? Tre nivåer av GDPR-mognad

Nivå 1 – Basal compliance (1–3 månader, 30 000–80 000 kr engång):
Registerförteckning, dataskyddspolicy, biträdesavtal med samtliga leverantörer, MFA på alla kritiska konton, dokumenterad incidentplan, säkerhetskopiering med test, grundläggande personalutbildning. Detta är miniminivå för att inte direkt sanktioneras vid en incident.

Nivå 2 – Strukturerad efterlevnad (3–9 månader, 80 000–250 000 kr engång + 50 000–150 000 kr/år):
Riskanalyser per behandling, lokal dataskyddsansvarig (DPO eller motsvarande funktion), kvartalsvis behörighetsöversyn, krypterad e-post för känsliga uppgifter, loggövervakning, årlig incidentövning, dokumenterad leverantörsstyrning, GDPR-anpassad onboarding av nya medarbetare.

Nivå 3 – NIS2-mognad (6–12 månader, 250 000–800 000 kr engång + 150 000–400 000 kr/år):
Formaliserat ledningssystem för informationssäkerhet (ofta enligt ISO 27001-strukturen), kontinuitetsplaner, segmenterat nätverk, EDR-skydd på alla endpoints, dygnetruntövervakning (SOC), formell incidentrapporteringskedja till tillsynsmyndighet, leverantörsrevisioner. Krävs för organisationer som omfattas av cybersäkerhetslagen.

De flesta svenska SME-företag bör ligga stadigt på nivå 2. Om ni är leverantör till en NIS2-omfattad organisation – räkna med att nivå 3 blir krav i upphandlingar inom 12–24 månader.

5 vanliga GDPR-fel som svenska SME gör

1. MFA är aktiverat – men bara för administratörer. Om en användare med åtkomst till personuppgifter saknar MFA är skyddet otillräckligt enligt IMY:s praxis.
‍
2. Backup tas – men har aldrig testats. En backup som inte återställts är inte en backup. Återställning bör testas minst årligen.
‍
3. Personuppgifter ligger i delade postlådor och Excel-filer. Skuggregister utan åtkomstkontroll är den vanligaste anledningen till accidentell spridning.
‍
4. Biträdesavtal saknas med "självklara" leverantörer. Microsoft, Google, lönesystem och bokföringsbyrå räknas alla som personuppgiftsbiträden.
‍
5. Personalen får ingen återkommande utbildning. Mer än 80 procent av allvarliga incidenter börjar med ett mänskligt misstag – oftast ett phishingmail. Engångsutbildning vid anställning räcker inte.

‍