GDPR 2026: Dataskydd som strategisk tillgång – inte bara en compliance-övning

De flesta bolag vi möter har gjort sitt GDPR-arbete. Problemet är att de gjorde det 2018.

Registerförteckningar upprättades, integritetspolicyer publicerades på webbplatsen, och en person på IT-avdelningen fick i uppgift att "hålla koll på GDPR". Sedan dess har verksamheten förändrats, nya system införts, leverantörer bytts ut – men dataskyddsdokumentationen står kvar orörd, som en tidskapsel från ett annat decennium.

Det är en situation vi stöter på regelbundet, oavsett om klienten är ett åländskt familjeföretag eller en nordisk koncern med verksamhet i flera jurisdiktioner. Den skapar också risker som sträcker sig långt bortom sanktionsavgifter. 

Under 2025 utfärdade europeiska tillsynsmyndigheter GDPR-böter på cirka 1,2 miljarder euro. Jämfört med det föregående året ökade dessutom antalet anmälda personuppgiftsincidenter med 22 procent. Detta motsvarar i genomsnitt över 400 incidenter per dag – en nivå som nu överskridits för första gången sedan 2018.¹

Dataskydd avgör affärer – bokstavligen

Vi ser det tydligast i transaktionsarbetet. När vi genomför due diligence på förvärvsobjekt har dataskyddspraxis blivit en standardpost i granskningen, i nivå med skatterisker och arbetsrättsliga åtaganden. Ett bolag med aktuell registerförteckning, uppdaterade biträdesavtal och en dokumenterad ansvarsstruktur signalerar operativ mognad. Det minskar riskpremien och försnabbar processen. Omvänt har vi sett transaktioner där bristande dataskydd blivit en potentiellt prisreducerande faktor – eller i värsta fall ett hinder som fördröjt closing med månader. Det handlar inte om teoretiska scenarier. Det är konkreta affärskonsekvenser som vi på praktisk nivå hanterat i uppdrag de senaste 12 månader. 

Samma dynamik syns i upphandlingssammanhang. Offentliga aktörer och större företag ställer i dag uttryckliga dataskyddskrav som kvalificeringskriterium. Det bolag som redan har sin dokumentation i ordning vinner tid och trovärdighet. Det bolag som behöver börja från noll förlorar båda. Finansministeriet har publicerat en särskild anvisning om dataskydd vid offentlig upphandling som förtydligar att upphandlande enheter ska ställa krav på biträdesavtal, registerförteckning och konsekvensbedömning redan i anbudsförfarandet.²

AI-verktyg och GDPR – den blinda fläcken i dataskyddsarbetet

Personalens användning av AI‑verktyg utan organisationens godkännande och tillsyn – så kallad ”shadow AI” – är redan idag ett framträdande dataskyddsproblem. Enligt undersökning väntas upp till 40 procent av alla organisationer globalt drabbas av säkerhetsincidenter kopplade till AI före 2030.³ En annan undersökning visar att 71 procent av anställda i Storbritannien har använt icke‑godkända AI‑verktyg i arbetet.⁴ Varje sådant verktyg som behandlar personuppgifter utan dokumenterad rättslig grund, utan personuppgiftsbiträdesavtal och utan en konsekvensbedömning enligt artikel 35 utgör en dataskyddsexponering.

Tre vanliga GDPR-brister vi ser i praktiken

Efter åtta år med GDPR i kraft finns det tre brister som återkommer med förutsägbar regelbundenhet. Den första är dokumentation som inte speglar verkligheten. Registerförteckningen enligt artikel 30 i dataskyddsförordningen beskriver hur verksamheten såg ut vid en viss tidpunkt, men bolaget har sedan dess infört nya CRM-system, bytt molntjänstleverantör och börjat använda AI-verktyg som behandlar personuppgifter på sätt som aldrig dokumenterats. Gapet mellan dokumentation och verklighet växer för varje år det inte adresseras. 

Personuppgiftsbiträdesavtal som saknas eller inte uppfyller kraven är en annan återkommande brist. Det är förvånansvärt vanligt att bolag använder externa tjänsteleverantörer – för lönehantering, digital marknadsföring, IT-drift – utan att ha avtal som uppfyller artikel 28. Det är en exponering som är enkel att åtgärda, men som kan bli kostsam om den upptäcks vid fel tillfälle. 

Den tredje är att ingen äger frågan. Dataskydd kräver inte nödvändigtvis ett formellt dataskyddsombud i varje organisation, men det kräver att någon har mandat, tid och kompetens att driva arbetet. När ansvaret är otydligt hamnar frågan mellan stolarna – och dyker upp igen först när det redan blivit ett problem.

GDPR-checklista för bolagsledningen 2026

Dataskyddsarbete behöver inte vara ett mastodontprojekt. Börja med en nulägesanalys: vilka personuppgifter behandlar ni faktiskt i dag, på vilken rättslig grund, och med vilka tekniska och organisatoriska skyddsåtgärder? Svaret ger er en karta över var luckorna finns. Uppdatera sedan det som behöver uppdateras. Registerförteckning, policyer och biträdesavtal ska spegla er faktiska verksamhet – inte den verksamhet ni bedrev för fem år sedan. Och förankra ansvaret i ledningen. Dataskydd är en strategisk riskhanteringsfråga, inte en IT-fråga. Den hör hemma på ledningsgruppens agenda.

EDPB:s tillsynsfokus 2026

EDPB:s samordnade tillsynsinsats för 2026 fokuserar på transparens- och informationskraven i GDPR. Det innebär att dataskyddsmyndigheterna i hela Europa specifikt kommer att granska hur organisationer informerar registrerade om behandling av deras uppgifter — inklusive integritetspolicyer och interna rutiner.⁵

Fem dataskyddsfrågor för bolagsledningen — var står ni?

1. Speglar er registerförteckning (art. 30) de system och leverantörer ni faktiskt använder i dag?
2. Har ni biträdesavtal med samtliga externa tjänsteleverantörer som behandlar personuppgifter — inklusive AI-verktyg?
3. Har någon i organisationen uttryckligt mandat och avsatt tid för dataskyddsfrågor?
4. Har ni genomfört en konsekvensbedömning (DPIA) för era AI-verktyg som behandlar personuppgifter?
5. Kan ni vid en upphandling eller due diligence visa aktuell dokumentation inom 48 timmar?

Vi på DKCO hjälper organisationer att gå från eftersatt dokumentation till en dataskyddsstruktur som faktiskt fungerar – och som skapar värde i transaktioner, upphandlingar och investerarrelationer. Hör av er för ett inledande samtal, eller GDPR-rådgivning.

Källor: 

1. Personal data breaches in Europe reach 443 per day in dramatic 22% jump DLA Piper analysis reveals | DLA Piper
2. Upphandling i Finland - Dataskyddsanvisning
3. Shadow AI Security Breaches will hit 40% of all Companies by 2030, Warns Gartner | Fortra
4. Rise in ‘Shadow AI’ tools raising security concerns for UK
5. Coordinated Enforcement Framework: EDPB selects topic for 2026 | European Data Protection Board