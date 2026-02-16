Åtta år har gått sedan GDPR trädde i kraft. Alla som hanterar personuppgifter har tvingats se över sin hantering och hitta nya rutiner. Har det lett till någon förbättring? Och vad har det inneburit för den som inte klarar kraven?
Förtroendeskador större risk än böter om du slarvar med GDPR
“Jag kan se en ganska tydlig kurva i utvecklingen sedan 2018, säger Sara Gandrén, medgrundare av inTechrity.
Bolaget jobbar bland annat med att stötta företag och organisationer att följa digitala regler. Hon beskriver ett intensivt arbete som ägde rum precis när lagen skulle träda i kraft.
“Precis innan GDPR började gälla var det många som gjorde ett arbete med att se över sin verksamhet och ta fram dokumentation om hur de behandlade personuppgifter”, säger hon.
Resultatet blev de välkända ”GDPR-mejlen” – men kunskapsnivån var generellt låg.
“Många verksamheter insåg några år senare att det skulle krävas mer arbete än vad de kanske trott”, säger Gandrén till Realtid.
Den andra vågen
En EU-dom sommaren 2020, som rörde användningen av amerikanska tjänster, blev en väckarklocka. GDPR kom åter upp på ledningsnivå.
“Framför allt i lite större verksamheter ledde det till att man började prata om saker som GDPR-årshjul och införde nya arbetssätt och rutiner för sitt dataskyddsarbete”, säger hon.
Samtidigt ser hon att det som verkligen avgör är det dagliga arbetet ute i organisationerna.
“Det vi ser gång på gång är att det i slutändan är de val som varje medarbetare gör i sitt dagliga arbete som får den största effekten på GDPR-efterlevnaden”, säger Gandrén.
Har individen fått mer makt?
Syftet med GDPR var dubbelt: att stärka individens kontroll över sina personuppgifter och att skapa ett starkare gemensamt regelverk inom EU.
När det gäller den fria rörligheten är effekten tydlig, men individperspektivet är mer nyanserat.
“GDPR har börjat ge oss individer mer kontroll och insyn på så sätt att ämnet i stort är mer uppmärksammat, att företag har tvingats bli alltmer transparenta och att vi i större utsträckning ges möjligheter att göra inställningar för vad vi vill dela med oss av om oss själva”, säger hon.
Samtidigt finns motkrafter.
“Mer kontroll innebär mer att hålla koll på – och kan leda till en ”samtyckeströtthet” som gör att vi ändå inte orkar bry oss”, säger Gandrén.
Hon pekar också på att tillsynen i Sverige varit begränsad.
“I Sverige har de avgifter som utfärdats av IMY (Integritetsskyddsmyndigheten) legat långt mycket lägre än de maxtak som finns, och det är sällan IMY inleder tillsyn, och ännu mer sällan som den tillsynen leder till någon påföljd.”
Men det betyder inte att riskerna är små.
“I en värld där personuppgifter är det nya guldet kan förtroendeskador i sig göra ännu ondare, och leda till större kostnader än vad en sanktionsavgift skulle ha inneburit”, säger Gandrén.
Ändringar kopplade till GDPR
I slutet av 2025 föreslog EU-kommissionen ändringar i GDPR, som ännu inte har klubbats. Sara förklarar att det till stor del handlar om AI:
“Det man kan se i det här förslaget är att det är många av ändringarna som tydligt är kopplade till AI och att man vill underlätta användningen av AI. Det skulle troligen bli lättare att motivera att använda personuppgifter för att utveckla AI till exempel.”
Samtidigt förstärks tillsynen i Sverige.
“Från och med 2026 har IMY en ny avdelning för tillsyn och klagomål, vilket de själva säger kommer stärka och effektivisera hur de jobbar med just det”, säger Gandrén.
Fakta: inTechrity
inTechrity erbjuder ”compliance as a service” med fokus på GDPR och andra digitala regelverk. Bolaget kombinerar en digital portal för dokumentation, mallar och ärendehantering med löpande juridisk rådgivning och granskning.
“Vi gör det enklare för företag att följa digitala lagar, så att de tryggt kan fokusera på sin kärnverksamhet och det de brinner för”, säger Sara Gandrén, jurist och medgrundare av inTechrity.
GDPR en fråga för styrelser och ägare
GDPR är i dag inte bara en juridisk detalj, utan en del av bolagsstyrningen.
“Ett exempel är absolut företagsförvärv – vi får då och då förfrågningar om att stötta vid en due diligence”, säger hon.
Allt oftare efterfrågas också interna granskningar.
“Ett fungerande livscykelarbete och regelbundna granskningar eller ”GDPR-revisioner” efterfrågas allt oftare från ledning och aktieägare”, säger Gandrén.
För mindre verksamheter är hennes råd konkret:
“Börja med att fundera över – och skriva ner – i vilka situationer ni behandlar personuppgifter. Det är svårt att bli compliant om man inte först tar reda på vad det är man gör med personuppgifter”, säger hon.
Edvard Lundkvist är chefredaktör på Realtid och tidigare redaktionschef på Dagens PS.
Edvard Lundkvist är chefredaktör på Realtid och tidigare redaktionschef på Dagens PS.