NordVPN
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Du behöver inte vara jurist för att uppfylla GDPR, men du behöver veta vilka fem saker som faktiskt kontrolleras om det blir aktuellt. Här är en praktisk genomgång för dig som redan driver en hemsida med kontaktformulär, kunduppgifter eller e-postutskick.
Så snart en hemsida samlar in namn, e-postadresser eller andra uppgifter som går att koppla till en person hanterar du personuppgifter, och då gäller dataskyddsförordningen (GDPR) även för dig som ensamföretagare eller litet team. Det handlar sällan om att allt måste vara perfekt från dag ett, utan om att kunna visa att du vet vad som samlas in, varför, och hur det skyddas. Den här checklistan går igenom de delar som Integritetsskyddsmyndigheten (IMY) och EU:s dataskyddsförordning lyfter som mest centrala för den som äger en hemsida: personuppgiftsansvar, avtal med leverantörer, formulär och incidentberedskap.
Enligt Integritetsskyddsmyndigheten (IMY) ska den som behandlar personuppgifter ha en laglig grund för behandlingen, ge tydlig information till de registrerade, hålla uppgifterna säkra och kunna visa att man lever upp till detta i praktiken. I klartext betyder det att du som hemsideägare bör kunna svara på tre frågor för varje ställe där personuppgifter samlas in: vilka uppgifter rör det sig om, vem mer får se dem (till exempel ett formulärverktyg eller en e-postleverantör), och hur länge de sparas innan de gallras. Kan du inte svara på det i dag är det själva utgångspunkten för att börja arbeta igenom checklistan nedan, snarare än ett tecken på att något redan är fel.
Gå igenom punkterna i den ordning de står. De bygger på varandra, och du behöver inte vara klar med allt på en gång för att ha gjort framsteg.
| Område | Vad du kontrollerar |
|---|---|
| Kartläggning | Var på hemsidan samlas personuppgifter in (formulär, nyhetsbrev, orderhistorik, kommentarer, kakor och analysverktyg) och vilka uppgifter rör det sig om |
| Laglig grund | Vilken grund du stödjer varje behandling på, till exempel avtal, samtycke eller berättigat intresse |
| Leverantörsavtal | Om varje extern tjänst som hanterar uppgifterna åt dig har ett personuppgiftsbiträdesavtal på plats |
| Information till besökare | Om integritetspolicyn faktiskt speglar vad som samlas in och varför, inte en generisk mall |
| Incidentberedskap | Om du vet vem som gör vad och hur snabbt, om ett formulär eller en databas läcker uppgifter |
De vanligaste källorna till personuppgifter på en vanlig hemsida är kontaktformulär, nyhetsbrevsanmälan, kundkonto eller orderhistorik i en webbutik och kommentarsfält – men glöm inte kakor (cookies) och analysverktyg som mäter besöksstatistik, eftersom de också kan samla in uppgifter som går att koppla till en person. Kakor styrs delvis av andra regler än GDPR; läs mer om vad som gäller vid samtycke hos PTS. Glöm heller inte webbhotellet och e-postleverantören: de lagrar och säkerhetskopierar ofta uppgifter åt dig, vilket är ännu en anledning till att biträdesavtalet med dem behöver finnas på plats.
Tabellen nedan kopplar varje risk till en konkret åtgärd och till den myndighetskälla åtgärden vilar på, så att du kan kontrollera underlaget själv.
| Risk | Åtgärd | Kontrollbevis | Källa |
|---|---|---|---|
| Leverantör behandlar personuppgifter utan avtal | Teckna personuppgiftsbiträdesavtal med instruktioner, säkerhetsåtgärder och underbiträden angivna | Signerat avtal arkiverat | IMY |
| Formulär samlar in mer än nödvändigt | Ta bort fält som inte används och ange syfte i policyn | Uppdaterad formulärkod och policytext | IMY / GDPR art. 5 |
| Ingen rutin vid dataintrång | Ta fram en enkel steg-för-steg-lista: vad stängs av, vem kontaktas, vad dokumenteras | Skriftlig incidentrutin | GDPR art. 33–34 |
| Okänt om 72-timmarsregeln gäller er | Bedöm risknivån direkt vid upptäckt, inte efter att utredningen är klar | Tidsstämplad bedömning | IMY |
| Ingen har koll på vem som är personuppgiftsansvarig internt | Utse en person eller roll som ansvarar för dataskyddsfrågor | Namngiven kontaktperson | IMY |
Har du begränsat med tid är det här ordningen som ger mest nytta snabbast:
För ett litet team räcker det oftast med en enkel årlig genomgång snarare än ett tungt system. Sätt av en halvtimme, gå igenom tabellerna ovan, och notera vad som redan är på plats och vad som saknas. Biträdesavtal är den punkt som oftast glöms bort, eftersom det lätt uppfattas som att det vanliga tjänsteavtalet med till exempel webbhotellet eller formulärverktyget räcker. Enligt IMY krävs dock en separat rättsakt som reglerar just personuppgiftsbehandlingen, inklusive ändamål, vilka typer av uppgifter det gäller, säkerhetsåtgärder och vad som händer med uppgifterna om avtalet upphör. De flesta seriösa leverantörer har ett sådant avtal färdigt att skriva under digitalt, så det handlar oftast om att aktivt be om det snarare än att förhandla fram det själv.
Incidentberedskap behöver inte vara mer avancerat än en kort lista sparad tillsammans med övrig dokumentation: vem i teamet som upptäcker och bedömer en misstänkt incident, vem som har mandat att stänga av ett läckande formulär eller konto, och vem som ansvarar för att en eventuell anmälan till IMY skickas i tid. Öva gärna igenom listan en gång per år, även om inget har hänt, så att den faktiskt fungerar den dag den behövs. Planerar ni en ny webbplats från grunden kan vår systersajts checklista för ny webbplats vara ett bra komplement för de tekniska bitarna.
De flesta punkterna ovan går att lösa själv med lite tid, men vissa situationer är värda att lyfta till en jurist eller konsult med dataskyddskompetens: om verksamheten behandlar känsliga personuppgifter i större omfattning, om ni är osäkra på om ett dataskyddsombud krävs, eller om en faktisk personuppgiftsincident redan har inträffat och ni är osäkra på om den ska anmälas. I de lägena väger en kort konsultation tyngre än att gissa sig fram, eftersom en felaktig bedömning av 72-timmarsregeln kan vara svårare att rätta till i efterhand än att fråga i förväg.
Kom ihåg: det är bedömningen av risk som styr om en personuppgiftsincident ska anmälas till IMY, inte hur allvarlig den känns. Är ni osäkra, dokumentera bedömningen ändå och våga fråga IMY eller en dataskyddskunnig rådgivare i förväg snarare än att vänta.
Troligen ja. Så snart hemsidan samlar in namn, e-post eller andra uppgifter som går att koppla till en levande person är du personuppgiftsansvarig för den behandlingen, oavsett hur liten verksamheten är.
Nej. Enligt IMY krävs ett särskilt personuppgiftsbiträdesavtal (eller motsvarande rättsakt) med varje leverantör som behandlar personuppgifter åt dig, utöver det vanliga tjänsteavtalet.
Nej. Anmälan till IMY krävs när det inte är osannolikt att en personuppgiftsincident medför risk för de registrerades rättigheter och friheter, och den ska då göras inom 72 timmar från att du fått vetskap om den.
Inte automatiskt. De flesta småföretag med en vanlig hemsida omfattas inte av kravet, men det är klokt att dokumentera den bedömningen så att du kan visa att frågan faktiskt är övervägd.
Rangordningen bygger på vad våra besökare oftast väljer när de går vidare till ett verktyg. Jämför alltid pris och funktioner innan du bestämmer dig. Länkarna nedan är annonslänkar.
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Lösenordshanterare för team med säker delning av inloggningar och bevakning av läckta uppgifter, utan att lösenord mejlas eller återanvänds.
Passar: Fler än en person som behöver dela inloggningar till samma tjänster.
Rankningen speglar besökarnas vanligaste val och redaktionell bedömning, inte ett oberoende test. Vi kan få provision när du tecknar avtal via våra annonslänkar – det påverkar inte vilka fakta eller reservationer vi lyfter.
Säkerhetsverktyg 2026För lösenord, nätverk & dataskydd
Se listan