Dataskydd är en ledningsfråga – inte en IT-fråga

IT-avdelningen kan systemen och förstår tekniken. Men det juridiska ansvaret för hur personuppgifter hanteras ligger hos ledningen – och det är en distinktion som är viktig att ha koll på.

Det är lätt att dataskyddsfrågor hamnar i skymundan. Inte för att viljan hos ledningen saknas, utan för att frågorna ofta konkurrerar med mycket annat och sällan upplevs som akuta – förrän de blir det. De organisationer som hanterar dataskydd väl är inte de som har bäst teknik, utan de som har bäst förankring. Någon som faktiskt äger frågan, följer upp och ser till att det händer något.

Dataskydd handlar med andra ord inte i första hand om teknik, utan om beslut, prioriteringar och ansvar. Och de behöver komma uppifrån för att fungera i praktiken.

Så ser det ut när det fungerar

Att ledningen äger dataskyddsfrågan handlar inte om att VD, GD eller styrelse ska kunna GDPR utantill – men det innebär mer än att nicka ja till en policy en gång om året. Det innebär att:

• Se till att det finns tydliga mål för hur organisationen hanterar personuppgifter.
• Tilldela tillräckliga resurser, både ekonomiska och personella.
• Följa upp att arbetet faktiskt bedrivs och att åtgärder genomförs.
• Se till att personal och de som hanterar personuppgifter i organisation får tillräcklig löpande utbildning.

Ledningens roll i ett säkerhetslandskap i ständig förändring

Enligt GDPR är det den personuppgiftsansvariga organisationen som bär det yttersta ansvaret för hur personuppgifter hanteras. Inte IT-chefen. Inte dataskyddsombudet. Denna fråga hamnar därför på ledningen.

IMY delade under 2023 och 2024 ut sanktionsavgifter på sammanlagt närmare 180 miljoner kronor till svenska organisationer, enligt IMY:s årsredovisningar. Bakom många av besluten finns samma mönster: frågorna lyftes inte till rätt nivå, beslut fattades inte och uppföljning saknades. Samtidigt visar IMY:s årsredovisning för 2025 att antalet anmälda personuppgiftsincidenter är det högsta sedan GDPR infördes – med nästan 90 procents ökning på ett år. Det är en påminnelse om att ett dataskyddsombud som jobbar för fullt, en gedigen IT-policy och ett välskrivet integritetsdokument är bra – men inte tillräckligt om ledningen inte är aktiv och engagerad kontinuerligt.

Det här kräver lagen av er

GDPR ställer krav på att organisationer arbetar med dataskydd systematiskt och dokumenterat, bland annat genom att:

• Ha en uppdaterad registerförteckning över personuppgiftsbehandlingar.
• Göra konsekvensbedömningar (DPIA) när känsliga uppgifter behandlas.
• Ha rutiner för att hantera och rapportera personuppgiftsincidenter inom 72 timmar.
• Säkerställa att avtal med personuppgiftsbiträden är på plats och uppdaterade.

Fem frågor att ställa i ledningsgruppen

Vill du ta tempen på hur väl er organisation hanterar dataskydd på ledningsnivå? Börja här:

1. Vet ledningen vilka personuppgifter organisationen hanterar och varför?
2. När följde ni senast upp att era dataskyddsrutiner faktiskt efterlevs?
3. Har ni rätt säkerhetsåtgärder på plats?
4. Hur ser det ut med den kontinuerliga uppföljningen av era tredjeparter?
5. Har ni en plan för vad som händer om ni drabbas av en eventuell cyberattack?

Kan ni svara tryggt och konkret på alla fem är ni på god väg att bli compliant. Om någon fråga känns svår att besvara är det ett bra ställe att börja på.

Så kommer ni igång

Ett bra första steg är att gå igenom de fem frågorna ovan i ledningsgruppen, och vara ärliga med svaren. Dataskydd är en gråzon och GDPR är en ordning-och-reda-lag. Lagkraven i GDPR måste bli en grundläggande del av hur en organisation styrs, både för att undvika sanktioner och för att bygga förtroende samt att skydda människors privatliv. Många organisationer är redan en bra bit på väg. Det som ofta saknas är struktur, systematik och en tydlig bild av vad som faktiskt krävs.

På Draftit hjälper vi ledningar och organisationer att strukturera sitt dataskyddsarbete, förstå vad regelverken kräver och bygga rutiner som håller i praktiken.

Läs mer om vår helhetslösning för dataskydd