Adam Norén
KostnadsuppskattningKunderBloggKontaktFå kostnadsuppskattning
Adam Norén

Jag bygger högpresterande webb- och mobilapplikationer som hjälper företag att växa och lyckas i den digitala världen.

Baserad i Sverige 🇸🇪

Snabblänkar
  • Tjänster
  • Om oss
  • Kunder
  • Blogg
  • Kontakt
Kontakt
  • +46 709 80 74 21
  • Mejla oss
  • Falsterbovägen 65
    236 51 Höllviken
    Sverige
Populära Ämnen
  • Hemsida Företag
  • Hemsida Malmö
  • Hemsida Pris
  • Vad Kostar en Hemsida?
  • Webbyrå Malmö

© 2026 Adam Norén Consulting. Alla rättigheter förbehållna.

Integritetspolicy
Blogg

GDPR och systemintegration: Checklista för säkra dataflöden

Systemintegration gör dataflöden snabbare. Men om persondata flödar automatiskt mellan system behöver ni veta att GDPR-kraven följs. Här är checklistan.

Adam Norén
17 februari 2026
7 min read

Sammanfattning: Vid systemintegration flödar persondata automatiskt mellan system — vilket gör GDPR-efterlevnad både viktigare och mer komplex. Nyckelpunkterna: teckna personuppgiftsbiträdesavtal med alla tredjeparter, minimera vilken data som skickas, dokumentera dataflöden och säkerställ att radering fungerar i alla kopplade system.

Innehållsförteckning

  • Varför GDPR blir extra viktigt vid integration
  • Sex GDPR-krav att tänka på vid systemintegration
  • Checklista: GDPR-säkrad integration
  • Vanliga riskscenarier
  • Tekniska skyddsåtgärder
  • Vanliga frågor om GDPR och integration

Systemintegration automatiserar dataflöden. Det är hela poängen. Men när det som flödar är personuppgifter — kundnamn, e-postadresser, köphistorik, organisationsnummer — ställer GDPR specifika krav på hur det sker.

Det här är inte en juridisk avhandling. Det är en praktisk guide för dig som bygger eller beställer integrationer och vill göra rätt.

Denna artikel ingår i vår serie om systemintegration. Läs den kompletta guiden för en bredare översikt.

Varför GDPR blir extra viktigt vid integration

Utan integration hanteras persondata i isolerade system. Riskerna är begränsade till varje enskilt system.

Med integration multipliceras riskerna:

Fler system = fler ställen där data lagras. En kunds e-postadress kan finnas i CRM, ERP, ekonomisystem, marknadsplattform och supportverktyg — alla synkroniserade automatiskt.

Automatik = mindre mänsklig granskning. Data flödar utan att någon ser det. Om en integration skickar mer data än nödvändigt märker ingen det förrän en revision eller incidentutredning.

Tredjepartsplattformar = fler personuppgiftsbiträden. Om ni använder iPaaS-plattformar passerar data genom en tredjepartstjänst — som också behandlar personuppgifterna.

Sex GDPR-krav att tänka på vid systemintegration

1. Rättslig grund för behandlingen

Varje system som tar emot persondata behöver en rättslig grund för sin behandling. Om ert CRM samlar in kunddata baserat på berättigat intresse — gäller samma grund när datan synkroniseras till marknadsplattformen? Eller krävs samtycke?

Praktiskt: Dokumentera vilken rättslig grund som gäller per system och per datatyp.

2. Personuppgiftsbiträdesavtal (PBA)

Om en tredjepartstjänst behandlar persondata för er räkning — iPaaS-plattform, molnlagring, integrationspartner — krävs ett personuppgiftsbiträdesavtal.

Praktiskt: Lista alla parter som data passerar genom i integrationsflödet. Teckna PBA med varje part som behandlar persondata.

3. Dataminimering

Skicka bara de fält som mottagande system faktiskt behöver. Om ekonomisystemet bara behöver namn och fakturaadress — synkronisera inte hela kundprofilen med köphistorik, e-postlogg och supportärenden.

Praktiskt: Granska varje integrationsflöde och lista exakt vilka fält som skickas. Kan listan kortas?

4. Rätten till radering

När en kund begär att bli raderad ska deras data tas bort ur alla system — inte bara källsystemet. Om er integration har synkroniserat en kund till fem system behöver raderingen ske i alla fem.

Praktiskt: Testa raderingsflödet. Skapa en testperson, synkronisera till alla system, begär radering och verifiera att personen försvinner överallt.

5. Dataflödeskarta

GDPR kräver att ni kan visa var persondata lagras och hur den rör sig. Datainspektionen (IMY) kan begära detta vid tillsyn.

Praktiskt: Dokumentera ett flödesschema: vilka system → vilken data → vilken riktning → vilken rättslig grund.

6. Tredjelandsöverföring

Om data skickas utanför EU/EES — exempelvis till en amerikansk iPaaS-plattform — gäller särskilda regler. Ni behöver ett godkänt överföringsverktyg (standardavtalsklausuler, adequacy decision, etc.).

Praktiskt: Kontrollera var era iPaaS-plattformar och molntjänster lagrar data. Välj EU-baserad lagring om möjligt.

Checklista: GDPR-säkrad integration

Använd denna checklista innan ni driftsätter en ny integration som hanterar persondata:

  • Rättslig grund dokumenterad per system och datatyp
  • Personuppgiftsbiträdesavtal tecknade med alla tredjeparter
  • Dataminimering — bara nödvändiga fält synkroniseras
  • Raderingsflöde testat end-to-end i alla kopplade system
  • Dataflödeskarta dokumenterad och uppdaterad
  • Tredjelandsöverföring utvärderad — EU-lagring vald om möjligt
  • Krypterad transport — all data överförs via HTTPS/TLS
  • Åtkomstkontroll — integrationen har minimal behörighet
  • Loggning — alla dataöverföringar loggas med tidsstämpel
  • Incidentplan — rutin för att hantera dataintrång via integrationen

Vanliga riskscenarier

Scenario 1: Översynkronisering

Integrationen synkroniserar hela kundobjektet mellan CRM och marknadsplattform — inklusive personnummer, som marknadsplattformen aldrig behöver.

Risk: Brott mot dataminimeringsprincipen. Onödig exponering av känsliga personuppgifter.

Lösning: Konfigurera fältmappningen så att bara relevanta fält skickas. Granska regelbundet.

Scenario 2: Radering fungerar bara i källsystemet

En kund begär radering i CRM:et. Datan raderas — men kopior finns kvar i ekonomisystemet, marknadsplattformen och supportverktyget via tidigare synkroniseringar.

Risk: Brott mot rätten till radering. Kunden kan anmäla till IMY.

Lösning: Bygg ett raderingsflöde som triggas i alla kopplade system. Alternativt: en manuell checklista per system tills automatiseringen finns.

Scenario 3: iPaaS-plattformen lagrar data utanför EU

Ni använder en iPaaS-plattform med servrar i USA. Persondata passerar genom plattformen vid varje synkronisering.

Risk: Otillåten tredjelandsöverföring om ni saknar godkänt överföringsverktyg.

Lösning: Välj EU-region i plattformens inställningar. Alternativt: self-hosta plattformen (möjligt med t.ex. n8n) på infrastruktur inom EU.

Scenario 4: Ingen loggning av dataöverföringar

Integrationen fungerar — men ingen vet exakt vilken data som skickats, när eller till vilket system.

Risk: Omöjligt att utreda vid incident. Omöjligt att visa efterlevnad vid tillsyn.

Lösning: Aktivera loggning från start. Varje transaktion bör loggas med tidsstämpel, källa, destination och vilka fält som överförts.

Tekniska skyddsåtgärder

Transport

  • HTTPS/TLS för all kommunikation — ingen data i klartext
  • Certifikatvalidering — verifiera att ni pratar med rätt motpart
  • VPN eller privat nätverkspeering för extra känsliga flöden

Autentisering

  • OAuth 2.0 med begränsade scopes — ge integrationen bara de behörigheter den behöver
  • API-nycklar med rotation — byt nycklar regelbundet, minst årligen
  • Undvik lösenord i klartext i konfigurationsfiler

Åtkomst

  • Principen om minsta möjliga behörighet — integrationen ska bara kunna läsa och skriva de fält den behöver
  • Separata integrationskonton — använd inte en anställds personliga konto för integrationen
  • IP-vitlistning om systemet stödjer det

Övervakning

  • Alerting vid avvikelser — ovanligt höga volymer, misslyckade autentiseringsförsök, nya datatyper
  • Regelbunden granskning — granska loggar kvartalsvis

Vanliga frågor om GDPR och integration

Behöver vi ett personuppgiftsbiträdesavtal med vår iPaaS-plattform?

Ja, om persondata passerar genom plattformen. De flesta etablerade plattformar (Make, n8n Cloud, Power Automate) erbjuder standardiserade PBA. Kontrollera att avtalet täcker era specifika datatyper och behandlingsändamål.

Kan vi använda en amerikansk iPaaS-plattform?

Det beror på. Om plattformen erbjuder EU-baserad datalagring och ni tecknar standardavtalsklausuler (SCCs) kan det fungera. Alternativet är att välja en plattform med infrastruktur inom EU, eller self-hosta lösningen.

Räcker det att radera kunden i ett system?

Nej. GDPR:s rätt till radering gäller all persondata ni behandlar — oavsett i vilket system den lagras. Om integrationen har synkroniserat datan till flera system måste radering ske i samtliga.

Hur dokumenterar vi dataflöden?

Skapa ett enkelt dokument eller diagram som visar: vilka system som är kopplade, vilken typ av persondata som flödar mellan dem, i vilken riktning, och med vilken rättslig grund. Uppdatera vid varje ny integration eller ändring.

Vem ansvarar för GDPR-efterlevnad i integrationen — vi eller vår partner?

Ni som personuppgiftsansvarig bär alltid det yttersta ansvaret. Er integrationspartner är personuppgiftsbiträde och ska följa era instruktioner, men ansvaret gentemot registrerade personer och tillsynsmyndigheten vilar på er.

Nästa steg

GDPR behöver inte vara ett hinder för systemintegration — det är ett ramverk som säkerställer att integrationen görs rätt.

  • Kartlägg era dataflöden innan ni bygger
  • Teckna PBA med alla tredjeparter
  • Minimera vilken data som synkroniseras
  • Testa radering end-to-end
  • Logga och övervaka löpande

Behöver ni hjälp att GDPR-säkra era integrationer? Kontakta oss för en kostnadsfri genomgång.

Adam Norén hjälper företag bygga integrationer som är både effektiva och GDPR-säkra. Han tror på dataminimering i praktiken — inte bara i policydokument.

Redo att starta ditt projekt?

Jag bygger högpresterande webbplatser och appar som skalar företag. Låt oss diskutera hur jag kan hjälpa dig nå dina mål.

Kontakta oss+46 709 80 74 21

Baserat i Sverige 🇸🇪 • Betjänar kunder över hela världen 🌍

Tillbaka till bloggen