GDPR stoppar inte ert AI-projekt — ni gör det

GDPR Claude är googlefrågan vi får oftast från svenska IT- och dataskyddsansvariga. Och med rätta. Här är vad Anthropic redan har på plats, var er egen risk faktiskt sitter, och vägen till GDPR-säker Claude-användning på tre veckors deltid utan att blanda in en jurist.

GDPR-oron stoppar mer än GDPR

Någon på ert bolag har bromsat AI-implementeringen med hänvisning till GDPR. Det är en rimlig omsorg. Det är också, för de flesta SMB-bolag, en lösbar sak — och ni behöver inte en jurist för att komma igång.

Här är det som inte alltid syns på första sidan av varje GDPR-artikel: noll svenska SMB-bolag har bötfällts för att deras medarbetare använder Claude, ChatGPT, Copilot eller Klang. Det enda riktigt stora AI-fallet i Europa, OpenAI:s 15 M EUR i Italien från 2024, revs upp av Tribunale di Roma den 18 mars 2026¹. Cross-Border Data Forum sammanfattade hela det europeiska läget i sin egen rubrik: A Lot of Noise, One Fine, Zero Survivors².

Det betyder inte att GDPR är luft. Det finns risker som faktiskt drabbar svenska bolag, och vi går igenom dem strax. Apoteket fick 37 mkr i bot 2024, Apohem 8 mkr, Avanza 15 mkr³. Men risken ligger inte där läsaren av den här artikeln tror att den ligger.

Den här guiden gör tre saker. Först förklarar vi vad Anthropic redan löser åt er, så ni vet vad ni inte behöver bygga själva. Sedan tar vi de sex praktiska stegen för att lägga grunden. Och sist, det viktigaste, en konkret playbook för hur ert team använder Claude i vardagen utan att läcka det som inte ska läcka.

Räkna med åtta till femton timmars arbete för grunden, plus en pågående rutin på ett par timmar i kvartalet.

---

Vad löser Anthropic redan åt er kring GDPR och Claude?

Innan vi går igenom stegen är det värt att förstå vad du faktiskt köper när du tecknar Claude for Work (Team eller Enterprise). En hel del av GDPR-arbetet är redan gjort åt dig.

DPA:et är inbyggt. Anthropics Data Processing Addendum (DPA) ingår automatiskt i Commercial Terms of Service. Du som kund är personuppgiftsansvarig, Anthropic är personuppgiftsbiträde. Det är inte en marknadsformulering utan deras uttryckliga roll: "Anthropic acts as a 'Processor' of the data on behalf of the customer"⁴. Du behöver inte förhandla ett separat biträdesavtal. Det finns redan⁵.

Teknisk säkerhet är på plats. AES-256-kryptering för data i vila, TLS 1.2 eller högre i transit⁶. Anthropic har SOC 2 Type II, ISO 27001:2022 och ISO/IEC 42001:2023 (det nya internationella standarden för AI-ledningssystem)⁷. Du kan begära kopior via Anthropics Trust Portal.

Ingen träning på din data. Under Commercial Terms tränar Anthropic inte modeller på dina promptar eller filer, utan ditt uttryckliga samtycke. Det gäller alla betalda planer: Team, Enterprise och API⁸.

Standard Contractual Clauses täcker USA-överföringen. Anthropic lagrar data i USA (AWS och Google Cloud)⁹. Det täcks av SCC som ingår i DPA:et. Det är den korrekta mekanismen för internationella dataöverföringar enligt GDPR⁵.

48 timmars incidentanmälan. Om något händer hos Anthropic förbinder de sig att informera dig inom 48 timmar⁶. Det är viktigt eftersom GDPR ger dig som personuppgiftsansvarig 72 timmar att anmäla till IMY. 48 plus 72 räcker. I branschen är 48 timmar en stark siffra. Många leverantörer skriver "without undue delay" och inget mer.

Primary Owner äger datan. Den person ni utser som Primary Owner i Claude for Work kontrollerar all organisationens data: kan exportera konversationer, ta bort användare, begränsa vilka funktioner som är tillgängliga¹⁰. Det är samma admin-mönster ni känner från Microsoft 365 eller Google Workspace — och det är vad GDPR förväntar sig av en personuppgiftsansvarig.

Konversationer raderas inom 30 dagar efter att de tagits bort. När en användare raderar en chatt försvinner den från Anthropics backend inom 30 dagar — och samma gäller incognito-chattar som auto-raderas inom samma fönster¹¹.

En sak att kontrollera direkt: Feedback-knappen. Om någon i ditt team klickar på tummen upp eller ned, eller skickar in en buggrapport, kan datan behållas i upp till fem år av Anthropic¹². Stäng av den möjligheten i organisationsinställningarna om ni hanterar känsligare information. Det är en setting, inte en förhandling.

Det här är alltså inte ett GDPR-ramverk du bygger upp från grunden. Det är ett komplement till det Anthropic redan gjort, och deras egen sammanfattning av hur de tänker kring GDPR finns att läsa direkt¹³.

---

Sex steg mot GDPR-compliance

Sex praktiska steg. De flesta tar mellan en och tre timmar.

Steg 1: Gör en intresseavvägning (LIA)

Tid: 2 till 3 timmar

Intresseavvägning (Legitimate Interest Assessment, LIA) är en dokumenterad bedömning av om den rättsliga grunden "berättigat intresse" (GDPR artikel 6.1.f) gäller för er användning av AI-verktyg¹⁴.

För intern, manuell användning av Claude Team där medarbetare skriver egna promptar och inte klistrar in personuppgifter om tredje parter, är berättigat intresse oftast rätt grund. Inte samtycke. Inte avtal. Berättigat intresse.

Trestegsmodellen ser ut så här:

1. Ändamålstest. Vilket konkret affärsproblem löser ni? "Effektivisera intern dokumenthantering" är ett legitimt ändamål. Skriv ner det specifikt.
2. Nödvändighetstest. Är AI det minst integritetskränkande alternativet? Om svaret är ja, dokumentera varför.
3. Avvägningstest. Väger medarbetarnas integritetsintressen tyngre än bolagets effektivitetsintresse? I de flesta interna fall gör de inte det, förutsatt att ni har tydliga riktlinjer för vad som är tillåtet.

Leverabeln: ett enkelt dokument på en till två sidor som besvarar dessa tre frågor.

---

Steg 2: Uppdatera integritetspolicyn

Tid: 1 till 2 timmar

Det handlar om ett tillägg, inte en omskrivning.

Lägg till ett stycke som informerar kunder och medarbetare om att personuppgifter kan komma att behandlas av tredjepartsleverantörer baserade utanför EU, däribland Anthropic (USA), och att dataöverföringen täcks av Standard Contractual Clauses.

Exempelformulering att anpassa:

"Vi använder AI-verktyg i vår verksamhet, däribland Claude (Anthropic, Inc., USA). Eventuell behandling av personuppgifter via dessa tjänster sker med stöd av Standard Contractual Clauses (SCC) i enlighet med GDPR artikel 46."

Inte mer komplicerat än så. Men det måste stå där.

---

Steg 3: Uppdatera registerförteckningen (RoPA)

Tid: 1 till 2 timmar

Artikel 30 i GDPR kräver att de flesta organisationer för ett register över sina personuppgiftsbehandlingar¹⁵. Notera: undantaget för företag under 250 anställda gäller inte om ni behandlar känsliga personuppgifter.

Lägg till en eller två rader. Minimikrav per rad:

• Behandlingsaktivitet
• Ändamål
• Rättslig grund
• Datakategorier
• Mottagare
• Lagringstid
• Säkerhetsåtgärder

Rad 1: AI-assisterat internt arbete (Claude, ChatGPT, Copilot för textproduktion, analys, mötesdokument). Rättslig grund: berättigat intresse. Mottagare: Anthropic, OpenAI, Microsoft (USA). Lagringstid: enligt respektive leverantörs DPA.

Rad 2 (om aktuellt): AI-assisterad kundsupport eller kundkommunikation. Separat rad med kunddata som kategori.

Inget mer än det krävs för att uppfylla artikel 30 i grundfallet.

---

Steg 4: Gör en enkel riskbedömning

Tid: 1 till 2 timmar

En fullständig konsekvensbedömning (Data Protection Impact Assessment, DPIA) krävs enligt GDPR artikel 35 bara vid systematisk profilering, behandling i stor skala eller annan högriskbehandling¹⁶. Manuell, intern användning av Claude Team hamnar sällan i den kategorin.

Vad ni ändå bör dokumentera:

• Risker: oavsiktlig inmatning av personuppgifter i promptar, data som skickas till USA
• Åtgärder: tydlig AI-policy (se steg 5), utbildning för berörda medarbetare, inga känsliga personuppgifter i promptar

En enkel tabell med risk och motåtgärd räcker. Det visar att ni har tänkt igenom det. Det är ofta nog.

---

Steg 5: Ta fram en intern AI-policy

Tid: 1 till 2 timmar

AI-policyn fyller två syften. Den ger tydlig intern styrning. Och den uppfyller EU AI Act artikel 4, som kräver tillräcklig "AI-litteracitet" hos personalen¹⁷. EU AI Act trädde i kraft den 1 augusti 2024. Förbuden mot vissa AI-användningar och kravet på AI-litteracitet började gälla den 2 februari 2025. Sanktionsregler gäller från 2 augusti 2025, och full tillsyn över allmängiltiga AI-modeller (GPAI) börjar 2 augusti 2026. Inga företag har i skrivande stund fått böter under AI Act. Efter Omnibus-avtalet 7 maj 2026 har flera tidslinjer ändrats: läs vår fullständiga AI Act-guide efter Omnibus för de nya deadlinerna och PTS-strukturen i Sverige.

En grundläggande AI-policy bör täcka:

• Tillåten data: vad får läggas in i AI-verktyg (intern text, anonymiserade exempel, inga personuppgifter om kunder utan specifik hantering)
• Förbjudna användningsfall: känsliga personuppgifter, konfidentiell finansiell information, personuppgifter om barn
• Ansvarsfördelning: vem är ansvarig för AI-hanteringen i organisationen
• Incidenthantering: vad gör ni om något går fel
• Verktyg som omfattas: ChatGPT, Claude, GitHub Copilot, Klang och andra godkända verktyg

På /knowledge finns ett malldokument för AI-policy som ni kan anpassa. Det går snabbare att fylla i en mall än att skriva från grunden.

---

Steg 6: Verifiera DPA:et och subprocessorerna

Tid: 30 minuter

En snabb faktakoll mot Anthropics officiella dokumentation:

• Bekräfta att DPA:et ingår i Commercial Terms (det gör det)⁵
• Kontrollera listan över subprocessorer (AWS, Google Cloud) och att SCC täcker dessa
• Notera avtalets villkor för dataradering: 30 dagar efter avtalsslut⁶
• Notera Anthropics avtalade svarstid vid säkerhetsincident: 48 timmar⁶

Det sistnämnda är viktigt. GDPR kräver att ni som personuppgiftsansvarig anmäler incidenter till IMY inom 72 timmar. Anthropic förbinder sig att informera er inom 48 timmar, vilket ger er marginal¹⁸.

---

Sammanfattning: steg, tid och leverabler

---

Bulletproofa er Claude-användning

Här ligger den största förbättringen att göra. De sex stegen ovan är pappersarbete. Det är nödvändigt. Men det skyddar inte mot det vanligaste problemet: en stressad medarbetare som klistrar in fel data i en prompt.

Sju delar, alla konkreta. Det här är vad som gör att du kan svara lugnt om en revisor frågar hur ni faktiskt använder Claude i vardagen.

1. Prompt-hygien: vad ska jag tänka på innan jag klistrar in?

Den enklaste regeln är också den viktigaste. Anthropic ser inte vad du klistrar in. Det är ditt ansvar. Men det betyder inte att allt är förbjudet, tvärtom. Det mesta normala arbetet är default tillåtet. Det är några specifika kategorier som kräver eftertanke.

Innan du klistrar in, fråga dig själv:

1. Är det art 9-data (hälsa, religion, fackförening, sexliv)? Då stopp.
2. Är det stor skala (100+ rader, hela databaser, hela mappar)? Stopp och dokumentera först.
3. Är individens namn nödvändigt för uppgiften? Om nej, anonymisera.
4. Skulle du säga det öppet på en konferens? Om nej, fundera ett varv till.

Tre kategorier nedan: tillåtet, villkorat, förbjudet. Skicka ut tabellen till hela organisationen och se till att alla har sett den minst en gång.

✓ Det här går utmärkt

Default. Du behöver inte fråga någon, och du behöver inte dokumentera mer än vanligt.

• Egna mötesanteckningar utan namnnämnda tredje parter
• Sammanfattning av en kunddialog där namnet ersatts med "kunden"
• Källkod där känsliga värden är platshållare ([API_KEY], process.env.X)
• Statistik på lönenivåer per roll eller grupp (anonymiserat)
• Generella avtalsfrågor utan att klistra in skarpt avtal
• Sammanfattningar av offentliga handlingar
• Egna utgående mejl du själv skrivit, utan att tredje parts svar bifogas
• Promptar som beskriver flöden, resonemang, idéer

⚠ Det här är villkorat

Inte förbjudet. Men det kräver att du har tänkt igenom det och kan dokumentera varför.

Tumregeln: kan jag förklara för en revisor varför den här uppgiften behövde individnivå? Om ja, kör. Om nej, anonymisera först.

✗ Det här gör vi aldrig

Här är det skarpt. Antingen art 9-data, säkerhetsfråga, eller olagligt innehav.

Hittar du dig själv på väg att klistra in något ur den här listan, det är då du ringer chefen eller AI Champion innan du trycker Enter.

2. Tekniska kontroller i Claude for Work

Det här är inställningar som tar fem minuter att konfigurera och som syns i nästa revision.

• Stäng av Feedback-Send. Default är att tummen-upp och tummen-ned skickar in datan till Anthropic, som behåller den i upp till fem år. Stäng av i organisationsinställningarna¹².
• Aktivera SSO och MFA. Via Anthropic Console. Inga delade lösenord, inga generiska konton.
• Definiera workspaces per affärsenhet. HR har egen workspace, finans har egen, produktteamet har egen. Det begränsar lateral spridning av data.
• Audit logs (Enterprise). Vem har promptat vad, när. Exporteras vid revision eller incident. Aktivera från dag ett.
• Custom data retention (Enterprise). Sätt 30 dagars retention istället för standard. Mindre data, mindre risk.

3. Rolltilldelning: vem äger AI-säkerheten?

GDPR vill veta vem som är ansvarig. AI Act vill veta vem som är ansvarig. Era medarbetare vill också veta vem de ska ringa när de undrar något. En enkel RACI är guld värd.

• Personuppgiftsansvarig (PuA): bolaget, formellt VD eller styrelse
• AI Champion (operativ): en namngiven person som äger AI-policyn, utbildningarna och de kvartalsvisa audits
• Säkerhetsansvarig: äger incident-playbooken (se nedan)
• DPO eller motsvarande: kontaktyta mot IMY vid incidenter

För ett 30 till 50 personers bolag är detta ofta tre eller fyra personer. För ett 10-personers bolag kan det vara samma person på alla rollerna. Poängen är att det står på ett papper.

4. Kvartalsvis prompt audit

Det är här de flesta misslyckas. Policyn finns. Utbildningen är gjord. Sen drar två kvartal förbi och ingen vet hur det faktiskt går till i vardagen.

Lös det med en enkel rutin:

• En gång per kvartal, plocka ut ett slumpmässigt urval på 50 promptar (om audit logs är aktiverade)
• Granska: läckte personuppgifter? Bröts AI-policyn? Hände något konstigt?
• Dokumentera fynden i en intern logg
• Uppdatera utbildningen baserat på det ni hittar

Tidsåtgång: 2 till 3 timmar i kvartalet. Förmodligen den högst avkastande GDPR-aktiviteten ni har tid för.

5. Incident-playbook

Det kommer hända. En medarbetare kommer någon gång klistra in en CSV med kunddata. En annan kommer kopiera in ett kontrakt. Det är inte slutet på världen, om ni har en plan.

Steg 1, identifiera. Vad lades in, av vem, när. Audit logs hjälper.

Steg 2, begränsa. Radera konversationen via Anthropics gränssnitt eller API om möjligt. Dokumentera att ni gjort det. Spara timestamp och vem som agerade.

Steg 3, bedöm. Är det en personuppgiftsincident enligt GDPR artikel 33? Krävs det om det finns en risk för fysisk persons rättigheter och friheter. En enstaka kontaktuppgift som lagts in och raderats inom timmar är oftast inte en anmälan. En CSV med 5000 kunders personnummer är det.

Steg 4, anmäl. Om det är en anmälningspliktig incident, kontakta IMY inom 72 timmar. Ni har 48 timmar från Anthropic om incidenten är på deras sida¹⁸.

Steg 5, informera. Om risken är hög för de drabbade, informera dem direkt enligt artikel 34.

Mall för incidentlogg: tidpunkt, identifierare, åtgärd, bedömning, beslut. En enkel Notion-sida eller Google Sheet räcker.

6. Integrationer och MCP-kopplingar: när Claude själv hämtar data

Den manuella användningen är enkel. Det är när Claude börjar prata med era system, via API eller MCP-koppling mot SharePoint, Outlook, CRM och liknande, som det blir på riktigt. Skalan ändrar allt.

Det är inte längre en paste-händelse. Claude hämtar själv. Det innebär per definition storskalig behandling, vilket utlöser:

• DPIA enligt artikel 35
• Behandlingen ska finnas i registerförteckningen med tydlig rättslig grund
• Audit logs blir avgörande, både för revision och incident
• Permissions måste designas medvetet, inte ärvas blint

Innan du sätter upp en MCP-koppling, fråga dig själv:

1. Är scopet så smalt det kan bli? En folder, inte en hel tenant.
2. Är behandlingen i registerförteckningen?
3. Finns audit logs aktiverade?

Är något av svaren nej, stoppa och fixa innan du kopplar.

Översikt per integrationstyp

Det här är inte förbjudet, det kräver bara design. Här är hur de vanligaste fallen ser ut.

SharePoint specifikt

• Scope-problem. "Hela tenanten" är nästan alltid fel. SharePoint innehåller filer från flera år tillbaka, inklusive sjukintyg, pensionsdokument, gamla mejl-bilagor, prestationsutvärderingar. En MCP-koppling som ser allt blir en datadumpning.
• Ärvda permissions. MCP följer SharePoint-permissions, men du har förmodligen access till mer än du borde mata in i Claude. "Jag kan se det" är inte samma sak som "det får skickas till Claude".
• Dolda art 9-data. Gamla dokument kan innehålla hälsouppgifter eller fackföreningsanmälan utan att det syns i filnamnet.

Outlook och mail specifikt

• Tredjepartsdata per definition. Varje mejl innehåller en avsändare som inte gett samtycke till att deras innehåll skickas till en US-leverantör. Det är annorlunda från en intern wiki.
• Bilagor är okänd terräng. CV:n, fakturor, lönespecar, sjukintyg, kunduppgifter. Du vet inte vad som ligger där förrän Claude redan läst det.
• Skickat-mappen är farlig. Den innehåller känslig kommunikation om personalärenden, kunddialoger, förhandlingar.
• Adressbok och mötesinbjudningar är personuppgifter om kontakter.

Tekniska kontroller på connector-nivå

• Scope-begränsning. Inte "all SharePoint", utan specifika sites eller libraries. Inte "hela inkorgen", utan en specifik mapp eller etikett.
• Read-only access som default. Skriv-rättigheter är ett separat beslut.
• Audit logs på MCP-anrop (Enterprise). Vilken endpoint, vilken data, vilken prompt.
• Per-prompt-bekräftelse. Claude frågar "Får jag hämta från X?" innan första anropet i en ny session.
• Tidsbegränsad access för projektmappar (auto-revoke efter X dagar).
• AI-godkänd folder-konvention. Namnkonvention som signalerar "denna får läsas av AI" (t.ex. _AI-OK).

När krävs DPIA?

Triggers enligt artikel 35:

• Systematisk och omfattande utvärdering av personliga aspekter (profilering)
• Storskalig behandling av känsliga personuppgifter eller uppgifter om brott
• Systematisk övervakning av allmänt tillgänglig plats

Konkret kräver DPIA: Claude integrerat i kundsupport mot ert CRM, automatisk klassificering och fördelning av inkommande mejl, generering av kundsvar utan mänsklig granskning. Konkret kräver det inte DPIA: Claude som översätter intern wiki, hjälper utvecklare läsa dokumentation, sammanfattar mötesanteckningar utan känsliga uppgifter.

Mall för minimal DPIA: en sida räcker för enklare fall. Beskriv behandlingen, kartlägg riskerna, lista åtgärderna, dokumentera beslutet. Mer behövs sällan om grundscenariot är enkelt.

För scenarier där ni ska ringa jurist innan ni går vidare — och inte göra det själva — se När behöver ni faktiskt en jurist? längre ner.

---

Manuell användning kontra API-integration

Två scenarier, två helt olika riskprofiler.

Scenario A: manuell användning. En medarbetare öppnar Claude.ai, skriver ett mötesutkast eller analyserar ett textdokument, kopierar ut resultatet. Inga personuppgifter i prompten, eller anonymiserade uppgifter. Det här är det vanligaste fallet och de sex stegen plus bulletproof-playbooken täcker det helt.

Scenario B: API-integration eller MCP-koppling mot SharePoint, Outlook, CRM eller affärssystem. Claude hämtar själv data från era system. Personuppgifter flödar automatiskt in. Här behöver ni en fullständig DPIA, detaljerad datakartläggning och eventuellt starkare avtalsskydd. Se sektion 6 i bulletproof-playbooken för konkreta beslut per integrationstyp.

Budskapet: börja med Scenario A. Det ger 90 procent av värdet för en bråkdel av bördan. Bygg upp AI-kompetensen internt. Utvärdera integrationer som ett separat, medvetet beslut när grunden är på plats.

Läs mer om data och suveränitet i djupdykningen Svensk AI, svensk data.

---

Hur stor är risken egentligen?

Låt oss vara konkreta om den faktiska riskbilden för ett typiskt svenskt B2B-bolag.

OpenAI:s 15 miljoner euro är upphävda. Det enda riktigt stora AI-fallet i Europa, från december 2024, revs upp av Tribunale di Roma den 18 mars 2026. Det handlade dessutom om hur OpenAI tränat sina modeller, alltså leverantörens problem. Inte din användning¹.

De svenska Meta Pixel-fallen är det verkliga mönstret. Apoteket 37 miljoner, Apohem 8 miljoner, Avanza 15 miljoner. Alla från 2024, alla för tredjepartsskript som läckte data via webben. Det handlar inte om AI³. Men det är värt att notera att samma logik gäller: en leverantör som behandlar data utanför ert direkta kontrollomfång är en risk om ni inte vet vad som händer. Claude under Commercial Terms är i en helt annan kategori, eftersom data inte flyttas i bakgrunden utan medvetet skickas av en användare.

IMY:s tillsynsfokus 2025 och 2026. Prioriteringarna 2025 var arbetslivet, AI inom vård och omsorg, och kameraövervakning¹⁹. För 2026 är det AI i offentlig sektor, barn och unga, och brottsbekämpning²⁰. Inte 30 till 50 personers B2B-bolag som använder Claude för intern dokumenthantering.

EU AI Act har inga first cases än. Sanktionsregler gäller sedan 2 augusti 2025. Ingen har bötfällts under AI Act per april 2026. SME:er har enligt EU-kommissionen förenklingar vad gäller teknisk dokumentation. Den verkliga risken är inte böter idag. Det är att stå utan AI-kompetens när konkurrenterna bygger upp sin.

Den realistiska riskbedömningen: om ni gör grundjobbet (de sex stegen), använder Claude for Work istället för gratiskontot, har en AI-policy på plats och en kvartalsvis audit-rutin, så är ni i ett avsevärt bättre läge än majoriteten av svenska SME:er. Det är inte juridisk perfektion. Men det är försvarbart.

---

Tidslinje: från noll till bulletproof

Det här är faktiskt görbart på två veckor på deltid, plus en lättviktsrutin som löper.

Vecka 1 (4 till 6 timmar):

• Gör LIA-bedömningen och dokumentera den
• Lägg till AI-stycket i integritetspolicyn
• Uppdatera registerförteckningen med en eller två nya rader

Vecka 2 (3 till 5 timmar):

• Gör den enkla riskbedömningen
• Fyll i AI-policy-mallen (hämta från /knowledge)
• Gör DPA-verifieringen och notera dataraderingsvillkor och incidenttider

Vecka 3, lättviktsrunda (2 till 3 timmar):

• Skicka ut prompt-hygien-tabellen till alla
• Konfigurera Feedback-Send, SSO och workspaces
• Sätt en återkommande kalenderpåminnelse: kvartalsvis prompt audit

Klart. Två och en halv vecka, deltid. Ingen extern jurist krävs så länge ni håller er till manuell användning av standardverktyg som Claude Team. För komplexare användningsfall eller känsligare branscher: ring jurist. Det är då pengarna är värda.

---

När behöver ni faktiskt en jurist?

Det finns scenarier där det är dåligt med stolthet att klara sig själv. Lista de här och stoppa allt om de dyker upp.

• Hälso- eller sjukvårdsdata (GDPR artikel 9). Specialregelverk plus IMY:s fokus 2025 och 2026 är just vården.
• Barn under 18 som dataämnen. Replika-fallet visar att Garante är aktiv här²¹.
• Profilering eller automatiserade beslut som påverkar individer (GDPR artikel 22). Kreditbeslut, anställningsbeslut, försäkringsbedömningar.
• MCP- eller API-koppling mot hela inkorgen, hela CRM eller hela SharePoint-tenanten. Triggar DPIA, och nästan alltid är det rätt att designa om scopet först.
• Stora kunder i Tyskland eller Frankrike. Strängare nationella tolkningar än svensk praxis.
• Användning i offentlig sektor. AI Act har särskilda regler för det.

Hittar ni er själva i ett av dessa, ring jurist. Det är inte svaghet, det är hygien. Allt annat, den vanliga bolagsanvändningen av Claude, ChatGPT, Copilot och Klang som beskrivits ovan, är där en partner som Satori sparar er tid och felsteg.

---

Vanliga frågor

Är Claude GDPR-säkert för svenska företag?

Ja, under Commercial Terms (Team eller Enterprise), med Anthropics inbyggda DPA, Standard Contractual Clauses för USA-överföringen, SOC 2 Type II och ISO/IEC 42001:2023, plus era egna sex steg från den här guiden. Gratisversionen av Claude.ai utan företagskonto är konsumentvillkor och inte tänkt för företagsdata.

Vad är skillnaden mellan Claude under Commercial Terms och gratisversionen?

Commercial Terms (Team, Enterprise, API) har DPA inbyggt, ingen träning på er data, SOC 2 och ISO-certifieringar, audit logs i Enterprise, SSO och MFA, samt custom data retention. Gratis Claude.ai är konsumentavtal: data kan användas för förbättring om ni inte aktivt slagit av det, och ingen DPA finns. För företagsanvändning är det alltid Commercial som gäller.

Hur lång tid tar det att göra AI-användningen GDPR-säker?

Cirka tre veckor på deltid, åtta till femton timmars arbete totalt, för manuell standardanvändning av Claude Team. Längre om ni vill in med MCP-kopplingar mot CRM eller SharePoint redan från start. Då tillkommer DPIA och datakartläggning per integration.

Måste vi göra en DPIA innan vi börjar?

Inte för manuell, intern användning av Claude Team där medarbetare själva skriver promptar. En enkel riskbedömning, risk plus motåtgärd, räcker enligt GDPR artikel 35. Full DPIA krävs vid storskalig automatiserad behandling, profilering, art 9-data eller MCP-kopplingar mot affärssystem.

Vad händer om en medarbetare råkar klistra in personuppgifter?

Följ incident-playbooken: identifiera (audit logs), begränsa (radera konversationen, dokumentera tidsstämpel), bedöm (är det anmälningspliktigt enligt GDPR artikel 33?), och anmäl till IMY inom 72 timmar om det finns risk för fysisk persons rättigheter. Enstaka misstag som upptäcks och raderas inom timmar är oftast inte anmälningspliktiga.

---

Vill ni ha hjälp att komma igång?

GDPR-compliansen för AI-verktyg är ett projekt, inte ett permanent tillstånd. Den här guiden räcker långt om ni vill driva arbetet själva. Men det stora värdet i en Satori-uppstart är sällan själva dokumenten. Det är att gå från "vi vet att vi borde" till "tio personer på bolaget använder Claude i tisdag förmiddag", utan att förlora ett kvartal till intern diskussion.

En Satori-uppstart ger er AI-implementationen: rätt verktygsval, tekniska inställningar i Claude for Work, prompt-hygien-utbildning för teamet, och en användning som fastnar. Två till tre veckor på vår sida, ett par timmar i veckan på er sida.

GDPR-arbetet — LIA, RoPA-rader, AI-policy, riskbedömning och DPA-genomgång — är en separat tilläggstjänst. Det är medvetet: alla bolag behöver inte hela paketet samtidigt, och en del har redan delar på plats via befintlig dataskyddsfunktion eller juristfirma. Vi bygger ut det som saknas, inte det ni redan har.

Fyra vägar in, beroende på var ni står:

• Boka 30 minuter — inga slides. Bara kaffe och ett ärligt samtal om var ni faktiskt står.
• Satori Uppstart — komplett AI-implementation med teknisk konfiguration och internutbildning, skräddarsytt mot er verksamhet.
• GDPR-tillägget — LIA, RoPA, AI-policy, riskbedömning och DPA-genomgång som separat paket. Kan köras parallellt med Uppstart eller fristående.
• Satori Claude — managed Claude for Work för svenska företag, om ni redan vet att det är det ni vill ha.
• AI-policy och mallar — börja själva med våra färdiga mallar.

---

Källor

---

Läs mer

Relaterade artiklar:

• Svensk AI, svensk data: Satoris vision för digital suveränitet - Djupdykning i datalagring och suveränitet
• Kom igång med ChatGPT för företag: Praktisk guide för svenska team - Hela onboarding-flödet för ChatGPT
• AI-konsult: Komplett guide för svenska företag 2026 - Så väljer du rätt AI-stöd

Satori-tjänster:

• Satori Uppstart - Komplett AI-implementation med teknisk konfiguration och internutbildning (GDPR-paketet är en separat tilläggstjänst)
• Satori Claude - Managed Claude for Work för svenska företag
• AI-policy och kunskapsmaterial - Mallar och guider

Footnotes

1. Wilson Sonsini (2026). OpenAI Prevails in Landmark Italian AI and GDPR Enforcement Case. https://www.wsgr.com/en/insights/openai-prevails-in-landmark-italian-ai-and-gdpr-enforcement-case.html ↩ ↩²

2. Cross-Border Data Forum (2025). Generative AI and GDPR Enforcement in Europe: A Lot of Noise, One Fine, Zero Survivors. https://www.crossborderdataforum.org/generative-ai-and-gdpr-enforcement-in-europe-a-lot-of-noise-one-fine-zero-survivors/ ↩

3. IMY (2024). Sanktionsavgifter mot Apoteket och Apohem för överföring av personuppgifter till Meta. https://www.imy.se/nyheter/sanktionsavgifter-mot-apoteket-och-apohem-for-overforing-av-personuppgifter-till-meta/ ↩ ↩²

4. Anthropic (2025). Does Anthropic act as a data processor or controller? https://privacy.claude.com/en/articles/9267385-does-anthropic-act-as-a-data-processor-or-controller ↩

5. Anthropic (2025). How do I view and sign your Data Processing Addendum (DPA)? https://privacy.claude.com/en/articles/7996862-how-do-i-view-and-sign-your-data-processing-addendum-dpa ↩ ↩² ↩³

6. Anthropic (2025). Claude: data retention policies, storage rules, and compliance overview. https://www.datastudios.org/post/claude-data-retention-policies-storage-rules-and-compliance-overview ↩ ↩² ↩³ ↩⁴

7. Anthropic (2025). What Certifications has Anthropic obtained? https://privacy.claude.com/en/articles/10015870-what-certifications-has-anthropic-obtained ↩

8. Anthropic (2025). Is my data used for model training? https://privacy.claude.com/en/articles/10023580-is-my-data-used-for-model-training ↩

9. Semafor (2025). Exclusive: AWS' mega multistate AI data center is powering Anthropic's Claude. https://www.semafor.com/article/10/29/2025/aws-massive-multi-state-ai-data-center-is-powering-anthropics-claude ↩

10. Anthropic (2025). Who owns and manages the data of my team? https://privacy.claude.com/en/articles/9265372-who-owns-and-manages-the-data-of-my-team ↩

11. Anthropic (2025). How long do you store my organization's data? https://privacy.claude.com/en/articles/7996866-how-long-do-you-store-my-organization-s-data ↩

12. Anthropic (2025). How long do you store my data? https://privacy.claude.com/en/articles/10023548-how-long-do-you-store-my-data ↩ ↩²

13. Anthropic (2025). What is your approach to GDPR or related issues? https://privacy.claude.com/en/articles/10023628-what-is-your-approach-to-gdpr-or-related-issues ↩

14. EDPB (2024). Guidelines 1/2024 on processing of personal data based on legitimate interest (Article 6(1)(f) GDPR). https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf ↩

15. IMY (2025). Föra register över personuppgiftsbehandlingar. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/fora-register-over-behandling/ ↩

16. Agentive AI (2025). Is Claude GDPR-Compliant? Key Facts for Businesses. https://agentiveaiq.com/blog/is-claude-gdpr-compliant-what-businesses-must-know ↩

17. EU AI Act (2025). Article 4: AI literacy. https://artificialintelligenceact.eu/article/4/ ↩

18. IMY (2025). Anmäla en personuppgiftsincident. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/personuppgiftsincidenter/ ↩ ↩²

19. IMY (2025). Tillsyns- och vägledningsprioriteringar 2025. https://www.imy.se/globalassets/bilder/publikationer/tillsyns%2D%2Doch-vagledningsprioriteringar-2025.pdf ↩

20. IMY (2026). IMY:s prioriteringar 2026: AI, barn och brottsbekämpning. https://www.imy.se/nyheter/imys-prioriteringar-2026%2D%2Dai-barn-och-brottsbekampning ↩

21. EDPB (2025). AI: the Italian Supervisory Authority fines company behind chatbot Replika. https://www.edpb.europa.eu/news/national-news/2025/ai-italian-supervisory-authority-fines-company-behind-chatbot-replika_en ↩