Smarta lås, porttelefoner och kameror – säkerhet och integritet i föreningen

Vad styrelsen ansvarar för

Styrelsen i en BRF är personuppgiftsansvarig för all teknik som hanterar boendes personuppgifter – det inkluderar smarta lås (taggar, koder, app-användning), digitala porttelefoner (bild, ljud, samtalslogg) och kamerabevakning (rörlig bild, ofta även ljud). Det gäller även om föreningen anlitat en extern installatör eller fastighetsförvaltare; ansvaret kan inte avtalas bort.

Det här betyder konkret att styrelsen ska:

• Göra en dokumenterad intresseavvägning innan systemet driftsätts
• Informera de boende skriftligt om vad som registreras, varför och hur länge
• Säkerställa att åtkomsten är begränsad och loggad
• Hantera incidenter och förfrågningar från boende inom GDPR:s tidsramar (vanligen 30 dagar för registerutdrag)
• Avveckla systemet ordentligt vid byte – inga taggar, koder eller bilder ska "ligga kvar" hos avgående leverantör

Enligt branschorganisationen Bostadsrätterna har antalet GDPR-relaterade ärenden från svenska BRF:er till IMY ökat med över 60 procent mellan 2021 och 2024. De flesta gäller kameror, men en växande andel handlar om porttelefonsystem och behörighetshantering i smarta lås.

Smarta lås – tre kategorier och vad de innebär för säkerheten

Smarta lås i en BRF delas vanligen in i tre kategorier: passersystem för entréer och gemensamma utrymmen, lägenhetslås (frivilligt för medlemmen) och hybridlösningar för tvättstugor och förråd. Föreningens ansvar gäller de två första kategorierna i gemensamma utrymmen – inte den enskildes lägenhetslås.

Passersystem (entré, källare, miljörum, cykelrum):
Standard idag är taggbaserade system från Aptus, RCO, Axema eller Phoniro. Modernare lösningar har även mobilapp och tidsstyrda koder. Kostnad: 25 000–80 000 kronor per port inklusive installation, plus 500–1 500 kronor per månad i molnabonnemang för administration.

Lägenhetslås (individuellt val):
Den enskilde medlemmen kan installera Yale Doorman, Verisure Smart Lock eller motsvarande. Föreningen har normalt inget ansvar för dessa men kan reglera i stadgar att kärnlås ska kunna öppnas med föreningens systemnyckel för räddningstjänst och vattenavstängning.

Behörighetshantering – det viktigaste:
Smarta lås är bara lika säkra som den som administrerar dem. Föreningens system ska ha:

• Personlig inloggning till administratörsverktyget (ingen delad "styrelse@-inloggning")
• MFA på alla administratörskonton
• Tidsstämplad logg över utdelade och blockerade taggar
• Rutin för omedelbar blockering vid förlust eller avflyttning
• Översyn av behörigheter minst två gånger om året

En vanlig miss är att taggar lämnas kvar hos avgående medlemmar för att "ingen hann blockera dem". Enligt en undersökning från Brottsförebyggande rådet (Brå) 2024 var stulna eller överlåtna taggar inblandade i 23 procent av de inbrott i flerbostadshus som inte involverade våld mot lås eller dörrar.

Porttelefoner – modern teknik med GDPR-implikationer

Digitala porttelefoner ringer numera direkt till medlemmens mobiltelefon via app, ofta med videobild av besökaren. Bild och ljud räknas som personuppgifter när de identifierar en individ. Föreningen behöver dokumenterad rättslig grund (vanligen "berättigat intresse" efter intresseavvägning) för att lagra eller överföra dessa uppgifter.

Vanliga lösningar 2026: Aptus, 2N IP Verso, Comelit, Akuvox. Kostnad: 30 000–60 000 kronor per entré, plus 200–600 kronor per månad i molnabonnemang.

Tre frågor styrelsen ska besvara innan installation:

1. Spelas bild och ljud in eller är det enbart realtid? Realtidssamtal utan inspelning är minst integritetskänsligt – men många system erbjuder inspelning som tilläggsfunktion. Inspelning kräver ofta starkare motivering.
‍
2. Lagras samtalshistorik och i så fall var? Loggar med boendes namn, telefonnummer och samtalstider är personuppgifter. Lagringstid och åtkomst ska regleras i föreningens dataskyddsdokumentation.
‍
3. Vem har åtkomst till administrationsverktyget? Samma princip som för smarta lås: personlig inloggning, MFA, loggning.

En särskild fråga rör porttelefoner som integreras med smartphone-appar där boende själva släpper in besökare på distans. Bekvämt – men styrelsen bör reglera i ordningsföreskrifter att medlemmen ansvarar för att inte släppa in obekanta personer som sedan begår brott eller skadegörelse. Ansvarsfrågan har prövats i flera tingsrättsdomar 2023–2025.

Kamerabevakning – det område där flest BRF:er fälls

Bostadsrättsföreningar behöver enligt kamerabevakningslagen (2018:1200) inget tillstånd från Integritetsskyddsmyndigheten för att kamerabevaka. Men det betyder inte att kameror är fria att installera var som helst – tvärtom. IMY:s praxis är restriktiv, särskilt för entréer, trapphus och områden där boende har normal förväntan på integritet. Felaktig installation är en av de vanligaste anledningarna till GDPR-sanktioner mot BRF:er.

IMY:s vägledning, senast uppdaterad 2024, säger i sammandrag:

Soprum, garage, cykelrum, källargångar med förråd: Vanligen tillåtet om brott eller skadegörelse förekommit och andra åtgärder prövats utan effekt.
‍
Tvättstugor: Mycket starkt integritetsintresse – kräver tungt vägande skäl. Sällan tillåtet.
‍
Trapphus och entréer (innanför ytterdörr): Tillåts endast vid dokumenterade allvarliga problem – narkotikaförsäljning, upprepade våldsbrott, omfattande skadegörelse. Inte vid "trygghetskänsla" eller enstaka händelser.
‍
Lägenhetsdörrar: Endast vid mycket tungt vägande skäl, t.ex. hotbild mot enskild boende efter polisanmälan.
‍
Yttre fasad och uteplats: Vanligen tillåtet om kameran inte fångar grannfastigheter, allmän väg eller individuella balkonger.

Avgörandet är intresseavvägningen: föreningens legitima intresse att förebygga brott vägs mot boendes rätt till privatliv. Den ska dokumenteras innan installation – inte konstrueras i efterhand vid IMY:s tillsyn.

Intresseavvägning – så gör styrelsen den korrekt

En intresseavvägning ska enligt IMY innehålla minst följande:

1. Syfte. Vilket konkret problem ska lösas? "Trygghet" är inte tillräckligt – beskriv vad som faktiskt har hänt (antal inbrott, skadegörelse, tider på dygnet, polisanmälningsnummer).
‍
2. Nödvändighet. Varför är just kamera lösningen? Har andra åtgärder prövats – passersystem, belysning, grannsamverkan, väktarrond?
‍
3. Proportionalitet. Hur är området valt så att kameran fångar så lite onödig personuppgift som möjligt? Vinklas kameran för att undvika passerande på trottoaren? Är inspelning verkligen nödvändig eller räcker realtid?
‍
4. Berörda intressen. Vilka registreras (boende, besökare, barn, personal)? Hur ofta? Med vilken upplösning?
‍
5. Skyddsåtgärder. Vem har åtkomst till bilderna? Hur länge sparas de? Hur skyddas systemet mot intrång?
‍
6. Slutsats. Är intresset att registrera starkare än de registrerades rätt till integritet?

Lagringstiden ska vara så kort som möjligt. IMY anser att 7–30 dygn är normalintervallet för BRF-bevakning. Lagringstider över 30 dygn kräver särskild motivering. Bilder ska raderas automatiskt – inte manuellt "vid tillfälle".

Skyltning ska finnas väl synlig vid varje övervakat område, med information om kamerabevakning, syfte, personuppgiftsansvarig och kontaktväg. Saknas skylten – eller är den otydlig – är installationen i praktiken olaglig oavsett om intresseavvägning gjorts.

Vad kostar tekniken – och vad kostar misstaget?

En genomsnittlig BRF med 40 lägenheter investerar 200 000–500 000 kronor i installation av modernt passersystem, digital porttelefon och eventuell kamerabevakning i gemensamma utrymmen. Driftskostnaden landar därefter på 12 000–30 000 kronor per år för molnabonnemang, support och uppdateringar. Felinstallerad teknik kostar minst dubbelt så mycket på 5 års sikt – och vid GDPR-brott tillkommer sanktionsavgifter.

Typiska kostnadsposter att räkna med:

• Passersystem 1 entré + 3 dörrar (källare, miljörum, cykelrum): 80 000–150 000 kr
• Digital porttelefon (1 entré, 40 lägenheter): 35 000–55 000 kr
• Kamerabevakning (3 strategiska punkter, 30 dygns lagring): 60 000–120 000 kr
• Strukturerad kabeldragning och nätverksinstallation: 30 000–80 000 kr
• Dataskyddsdokumentation (intresseavvägning, policys, biträdesavtal): 8 000–25 000 kr engång
• Årlig drift och support: 12 000–30 000 kr

Beslutsförslag som missar dokumentationen, eller där samma installatör levererar utan extern juridisk granskning, är det vanligaste skälet till att en BRF får problem vid IMY-tillsyn. Sanktionsavgift kan landa mellan 75 000 och 500 000 kronor – på en förenings stämma är det normalt en avgiftshöjning för medlemmarna på 200–800 kronor per månad.

Vanliga misstag som BRF:er gör

1. Kameran sattes upp efter ett inbrott – utan intresseavvägning, utan skylt. Den klassiska orsaken till sanktion. Beslutet bör tas i styrelseprotokoll med dokumenterad avvägning innan installation.
‍
2. Porttelefonen ringer till mobil – men ingen styr vem som har åtkomst. En medlem som flyttar har kvar app-åtkomst flera år efter avflyttning.
‍
3. Smarta lås administreras från en delad inloggning. Vid förändring i styrelsen finns ingen logg över vem som gjort vad.
‍
4. Lagringstiden för kamerabilder är "tills hårddisken blir full". GDPR kräver definierad och så kort lagringstid som möjligt.
‍
5. Skyltarna har skadats eller fallit ner och har inte ersatts. Föreningen är fortfarande ansvarig.
6. Föreningen vet inte vem som är personuppgiftsbiträde. Leverantörens åtagande att hantera data ska vara skriftligt avtalat (DPA).
‍
7. Inga biträdesavtal med molnleverantören. Bilder som lagras i en europeisk eller amerikansk molntjänst utan formellt biträdesavtal är en lagöverträdelse i sig.

‍

Vanliga frågor om smarta lås, porttelefoner och kameror i BRF

‍

Behöver vår BRF tillstånd från IMY för att sätta upp kameror?

‍
Nej, bostadsrättsföreningar behöver inte ansöka om tillstånd för kamerabevakning enligt kamerabevakningslagen. Men föreningen måste göra en dokumenterad intresseavvägning enligt GDPR innan kamerorna driftsätts, samt informera de boende skriftligt och med tydlig skyltning. Saknas dokumentationen är installationen i praktiken olaglig – även utan tillståndskrav.

‍

Hur länge får en BRF spara kamerabilder?

‍
IMY:s normalintervall är 7–30 dygn för kamerabevakning i flerbostadshus. Längre lagring kräver särskild motivering, t.ex. pågående brottsutredning. Bilderna ska raderas automatiskt när lagringstiden löper ut. En lagringstid på "tills hårddisken blir full" eller "tills någon hinner radera" uppfyller inte GDPR-kraven.

‍

Kan vi kamerabevaka trapphus om vi haft inbrott?

‍
Det krävs starka skäl. IMY har bedömt att trapphusbevakning är tillåten först vid återkommande, allvarliga problem – som narkotikaförsäljning, omfattande skadegörelse eller upprepade våldsbrott. Ett enstaka inbrott räcker normalt inte. Pröva alternativa åtgärder (passersystem, belysning, grannsamverkan) och dokumentera utfallet innan kameror övervägs.

‍

Får vi spara loggar över vem som öppnar entrén med tagg?

‍
Ja, men endast så länge det behövs för det ursprungliga syftet (säkerhet, åtkomstkontroll, felsökning). Lagringstid över 90 dagar kräver tydlig motivering. Loggarna är personuppgifter och åtkomsten ska vara begränsad till de personer i styrelsen som behöver den. Boende har rätt att begära ut sin egen logg via registerutdrag.

‍

Vem är ansvarig om vår leverantör läcker boendes uppgifter?

‍
Styrelsen som personuppgiftsansvarig. GDPR:s grundprincip är att ansvaret inte kan avtalas bort – men ett korrekt personuppgiftsbiträdesavtal (DPA) reglerar vad leverantören ska göra om en incident inträffar och hur ansvar fördelas ekonomiskt. Saknas DPA är föreningen ofta ensam ansvarig mot drabbade medlemmar och inför IMY.

‍

‍