---
title: "GDPR och Claude: Pragmatisk guide för svenska företag"
slug: "gdpr-claude-guide-svenska-foretag"
date: "2026-02-26"
author: "Joachim Sahlin"
description: "GDPR och Claude behöver inte vara komplicerat. Praktisk checklista med 6 steg, AI-policy, och realistisk riskbedömning för svenska SME:er. 8-15 timmars arbete."
keywords: ["ai säkerhet", "ai policy", "claude företag", "Claude for Work", "gdpr ai", "ai implementation", "ai strategi"]
excerpt: "Klarnas 7,5 miljoner i böter. IMY:s tillsyn. EU AI Act. Det låter skrämmande. Men för ett vanligt svenskt SME är verkligheten mycket enklare. Här är en pragmatisk guide på sex steg."
readingTime: "12 min"
featuredImage: "/images/blog/gdpr-claude-guide-svenska-foretag.jpg"
featuredImageAlt: "GDPR och AI-verktyg för svenska företag - guide och checklista"
relatedPages:
  - /docs/ai-policy.md
  - /docs/satori-claude.md
  - /docs/satori-uppstart.md
relatedBlog:
  - svensk-ai-data-sverige-satoris-vision
  - chatgpt-foretag-kom-igang-praktisk-guide
  - ai-konsult-guide-svenska-foretag
  - claude-for-foretag-guide
---

## GDPR och AI. Måste det vara så komplicerat?

Klarna. 7,5 miljoner kronor. IMY. EU AI Act. Om du har Googlar något om GDPR och AI på sistone har du förmodligen sett de rubrikerna.

Och det är lätt att tänka att det hela är en juridisk djungel som kräver ett dedikerat dataskyddsombud, en extern juristfirma och ett halvår av arbete innan ditt team får börja använda Claude, ChatGPT, Copilot eller Klang.

Men verkligheten för ett vanligt svenskt SME är mycket enklare.

Klarnas böter handlade om bristande informationsplikt kring personuppgiftsbehandling i konsumenttjänster. Inte om att en mellanchef använde Claude för att skriva ett mötesutkast. IMY:s tillsynsprioriteringar för 2025 och 2026 fokuserar på hälso- och sjukvård, barn och unga, offentlig sektor och brottsbekämpning. Inte på 40-personers B2B-bolag som testar AI-verktyg[^1].

Det betyder inte att du kan strunta i GDPR. Men det betyder att du kan göra det här pragmatiskt, med rimliga insatser, och utan att anlita ett juridikteam.

Den här guiden ger dig de sex stegen. Räkna med 8 till 15 timmars arbete totalt.

---

## Vad Anthropic redan löser åt dig

Innan vi går igenom stegen är det värt att förstå vad du faktiskt köper när du tecknar Claude for Work (Team eller Enterprise).

**DPA:et är inbyggt.** Anthropics Data Processing Addendum (DPA) inkluderas automatiskt i Commercial Terms of Service. Det innebär att du som kund är personuppgiftsansvarig och Anthropic är personuppgiftsbiträde. Du behöver inte förhandla ett separat biträdesavtal. Det finns redan[^2].

**Teknisk säkerhet är på plats.** AES-256-kryptering för data i vila, TLS 1.2 eller högre för data i transit[^3]. Anthropic har SOC 2 Type II, ISO 27001:2022 och ISO/IEC 42001:2023 (det nya internationella standarden för AI-ledningssystem)[^4]. Du kan begära kopior av dessa certifieringar via Anthropics Trust Portal.

**Ingen träning på din data.** Under Commercial Terms tränar Anthropic inte generativa modeller på din kod eller dina promptar, utan ditt uttryckliga samtycke. Det gäller alla betalda planer: Team, Enterprise och API[^5].

**Standard Contractual Clauses täcker USA-överföringen.** Anthropic lagrar data i USA (AWS och Google Cloud)[^6]. Det täcks av SCCs som ingår i DPA:et. Det är det korrekta mekanismen för internationella dataöverföringar enligt GDPR[^2].

**En sak att kontrollera direkt:** Feedback-knappen. Om någon i ditt team klickar på tummen upp eller ned, eller skickar in en buggrapport via gränssnittet, kan den datan behållas i upp till fem år av Anthropic[^7]. Stäng av den möjligheten i organisationsinställningarna om ni hanterar känsligare information.

Det handlar alltså inte om att bygga upp ett GDPR-ramverk från grunden. Det handlar om att komplettera det Anthropic redan gjort med rätt intern dokumentation.

---

## Sex steg mot GDPR-compliance

Nedan följer de sex konkreta stegen. De flesta tar 1 till 3 timmar vardera.

### Steg 1: Gör en intresseavvägning (LIA)

**Tid: 2-3 timmar**

Intresseavvägning (Legitimate Interest Assessment, LIA) är en dokumenterad bedömning av om den rättsliga grunden "berättigat intresse" (GDPR artikel 6.1.f) gäller för er användning av AI-verktyg[^8].

För intern, manuell användning av Claude Team, där medarbetare skriver egna promptar och inte klistrar in personuppgifter om tredje parter, är berättigat intresse ofta rätt grund. Inte samtycke. Inte avtal. Berättigat intresse.

Trestegsmodellen ser ut så här:

1. **Ändamålstest:** Vilket konkret affärsproblem löser ni? "Effektivisera intern dokumenthantering" är ett legitimt ändamål. Skriv ner det specifikt.
2. **Nödvändighetstest:** Är AI det minst integritetskränkande alternativet? Om svaret är ja, dokumentera varför.
3. **Avvägningstest:** Väger medarbetarnas integritetsintressen tyngre än bolagets effektivitetsintresse? I de flesta interna AI-fall gör de inte det, förutsatt att ni har tydliga riktlinjer för vad som är tillåtet.

Leverabeln: ett enkelt dokument på 1 till 2 sidor som besvarar dessa tre frågor.

---

### Steg 2: Uppdatera integritetspolicyn

**Tid: 1-2 timmar**

Det handlar om ett tillägg, inte en omskrivning.

Lägg till ett stycke som informerar kunder och medarbetare om att personuppgifter kan komma att behandlas av tredjepartsleverantörer baserade utanför EU, däribland Anthropic (USA), och att dataöverföringen täcks av Standard Contractual Clauses.

Exempelformuleringar att anpassa:

> "Vi använder AI-verktyg i vår verksamhet, däribland Claude (Anthropic, Inc., USA). Eventuell behandling av personuppgifter via dessa tjänster sker med stöd av Standard Contractual Clauses (SCC) i enlighet med GDPR artikel 46."

Det är inte mer komplicerat än så. Men det måste stå där.

---

### Steg 3: Uppdatera registerförteckningen (RoPA)

**Tid: 1-2 timmar**

Artikel 30 i GDPR kräver att de flesta organisationer för ett register över sina personuppgiftsbehandlingar[^9]. Notera: Undantaget för företag under 250 anställda gäller inte om ni behandlar känsliga personuppgifter.

Lägg till en eller två rader i er befintliga registerförteckning. Minimikrav per rad:

- Behandlingsaktivitet
- Ändamål
- Rättslig grund
- Datakategorier
- Mottagare
- Lagringstid
- Säkerhetsåtgärder

**Rad 1:** AI-assisterat internt arbete (Claude/ChatGPT/Copilot för textproduktion, analys, mötesdokument). Rättslig grund: Berättigat intresse. Mottagare: Anthropic, OpenAI, Microsoft (USA). Lagringstid: Enligt respektive leverantörs DPA.

**Rad 2 (om aktuellt):** AI-assisterad kundsupport eller kundkommunikation. Separat rad med kunddata som kategori.

Inget mer än det krävs för att uppfylla artikel 30 i grundfallet.

---

### Steg 4: Gör en enkel riskbedömning

**Tid: 1-2 timmar**

En fullständig konsekvensbedömning (Data Protection Impact Assessment, DPIA) krävs enligt GDPR artikel 35 bara vid systematisk profilering, behandling i stor skala eller annan högriskbehandling[^10]. Manuell, intern användning av Claude Team hamnar sällan i den kategorin.

Vad ni ändå bör dokumentera:

- Risker: Oavsiktlig inmatning av personuppgifter i promptar, data som skickas till USA
- Åtgärder: Tydlig AI-policy (se steg 5), utbildning för berörda medarbetare, inga känsliga personuppgifter i promptar

En enkel tabell med risk och motåtgärd räcker. Det visar att ni har tänkt igenom det. Det är ofta nog.

---

### Steg 5: Ta fram en intern AI-policy

**Tid: 1-2 timmar**

AI-policyn fyller två syften. Den ger tydlig intern styrning. Och den uppfyller EU AI Act artikel 4, som trädde i kraft den 2 februari 2025 och kräver att leverantörer och användare av AI-system säkerställer tillräcklig "AI-litteracitet" hos sin personal[^11].

En grundläggande AI-policy bör täcka:

- **Tillåten data:** Vad får läggas in i AI-verktyg? (t.ex. intern text, anonymiserade exempel, ej personuppgifter om kunder utan specifik hantering)
- **Förbjudna användningsfall:** Känsliga personuppgifter, konfidentiell finansiell information, personuppgifter om barn
- **Ansvarsfördelning:** Vem är ansvarig för AI-hanteringen i organisationen?
- **Incidenthantering:** Vad gör ni om något går fel?
- **Verktyg som omfattas:** ChatGPT, Claude, GitHub Copilot, Klang och andra godkända verktyg

På [/knowledge](/knowledge) finns ett malldokument för AI-policy som ni kan anpassa. Det tar kortare tid att fylla i ett färdigt mall än att skriva från grunden.

---

### Steg 6: Verifiera DPA:t och subprocessorerna

**Tid: 30 minuter**

En snabb faktakoll mot Anthropics officiella dokumentation:

- Bekräfta att DPA:et ingår i Commercial Terms (det gör det)[^2]
- Kontrollera listan över subprocessorer (AWS, Google Cloud) och att SCCs täcker dessa
- Notera avtalets villkor för dataradering: 30 dagar efter avtalsslut[^3]
- Notera Anthropics avtalade svarstid vid säkerhetsincident: 48 timmar[^3]

Det sistnämnda är viktigt. GDPR kräver att ni som personuppgiftsansvarig anmäler incidenter till IMY inom 72 timmar. Anthropic förbinder sig att informera er inom 48 timmar, vilket ger er marginal[^12].

---

## Sammanfattning: Steg, tid och leverabler

| Steg | Aktivitet | Uppskattad tid | Leverabel |
|------|-----------|----------------|-----------|
| 1 | Intresseavvägning (LIA) | 2-3 h | Dokument, 1-2 sidor |
| 2 | Uppdatera integritetspolicy | 1-2 h | Tillägg i befintlig policy |
| 3 | Registerförteckning (RoPA) | 1-2 h | 1-2 nya rader i register |
| 4 | Riskbedömning | 1-2 h | Enkel risk/åtgärd-tabell |
| 5 | Intern AI-policy | 1-2 h | Ifylld policymall |
| 6 | Verifiera DPA:t | 30 min | Intern notering |
| **Totalt** | | **7-13 h** | **Komplett dokumentation** |

---

## Manuella promptar vs. API-integration

Det finns två grundläggande scenarier, och de har helt olika riskprofiler.

**Scenario A: Manuell användning.** En medarbetare öppnar Claude.ai, skriver ett mötesutkast eller analyserar ett textdokument, och kopierar ut resultatet. Inga personuppgifter i prompten, eller anonymiserade uppgifter. Det här är det vanligaste fallet och standardstegen ovan täcker det helt.

**Scenario B: API-integration mot CRM eller affärssystem.** Claude kopplas ihop med ert CRM, er ärendehantering eller er databas. Personuppgifter flödar automatiskt in i promptar. Här behöver ni en fullständig DPIA, detaljerad datakartläggning och eventuellt starkare avtalsskydd. Det är ett helt annat projekt.

Budskapet: Börja med Scenario A. Det ger 90 procent av värdet för en bråkdel av bördan. Bygg upp AI-kompetensen internt. Utvärdera integrationer som ett separat, medvetet beslut när grunden är på plats.

Läs mer om data och suveränitet i djupdykningen [Svensk AI, svensk data](/blog/svensk-ai-data-sverige-satoris-vision).

---

## Hur stor är risken egentligen?

Låt oss vara konkreta om den faktiska riskbilden för ett typiskt svenskt B2B-bolag.

**Klarnas 7,5 miljoner.** IMY beslutade 2022 om sanktionsavgiften mot Klarna Bank AB för bristande informationsplikt i konsumenttjänster. Domstolen sänkte sedan avgiften till 6 miljoner. Det handlade om otydlig information till hundratusentals konsumenter om ändamål, rättsliga grunder och internationella dataöverföringar[^12]. Det är en annan riskdimension än ett B2B-bolag med 30 anställda som använder Claude för intern dokumenthantering.

**IMY:s faktiska tillsynsfokus.** IMY:s prioriteringar 2025 inkluderade arbetslivet, AI inom vård och omsorg, och kameraövervakning[^1]. För 2026 är prioriteringarna AI i offentlig sektor, barn och unga, och brottsbekämpning[^13]. Inte det marknadssegment de flesta läsare av den här artikeln tillhör.

**EU AI Act och SME:er.** AI Act artikel 4 om AI-litteracitet gäller sedan februari 2025, men tillsyns- och sanktionsreglerna träder inte i full kraft förrän i augusti 2026. SME:er har enligt EU-kommissionen förenklingar vad gäller teknisk dokumentation. Den verkliga risken är inte böter idag. Det är att stå utan AI-kompetens när konkurrenterna bygger upp sin[^11].

Den realistiska riskbedömningen: Om ni gör grundjobbet (de sex stegen ovan), använder Claude for Work i stället för gratiskontot, och har en AI-policy på plats, är ni i ett avsevärt bättre läge än majoriteten av svenska SME:er.

---

## Tidslinje: Från noll till grundläggande GDPR-dokumentation

Det här är faktiskt görbart på två veckor, på deltid.

**Vecka 1 (4-6 timmar):**
- Gör LIA-bedömningen och dokumentera den
- Lägg till AI-stycket i integritetspolicyn
- Uppdatera registerförteckningen med 1-2 nya rader

**Vecka 2 (3-5 timmar):**
- Gör den enkla riskbedömningen
- Fyll i AI-policy-mallen (hämta från [/knowledge](/knowledge))
- Gör DPA-verifieringen och notera dataraderingsvillkor och incidenttider

Klart. Två veckor, deltid. Det krävs ingen extern jurist för steg 1 till 6 så länge ni håller er till manuell användning av standardverktyg som Claude Team. För mer komplexa användningsfall, som automatiserad behandling av personuppgifter eller känsliga branscher, rekommenderar vi juridisk rådgivning.

---

## Nästa steg

GDPR-compliansen för AI-verktyg är ett projekt, inte ett permanent tillstånd. Dokumentationen behöver uppdateras när verktyg eller processerna förändras. Men grunden lägger ni en gång.

Vill du ha hjälp att komma igång snabbt?

- **[Satori Uppstart](/uppstart):** Vi hjälper er att sätta grunden för AI-implementationen, inklusive GDPR-dokumentation och AI-policy anpassad för er verksamhet.
- **[AI-policy och kunskapsmaterial](/knowledge):** Mallar och guider du kan börja använda direkt.

Om ni vill fördjupa er i hur Satori hanterar data och var era promptar faktiskt lagras, läs mer om [Satori Claude](/claude).

Och om du vill ha ett ärligt samtal om var ert företag faktiskt står, [boka 30 minuter](https://outlook.office.com/bookwithme/user/7a2b5ed0069d485eaa32e2a5231363ad%40Satoriml.se/meetingtype/O0B223LCCk-27FtP-ICAXQ2?anonymous&ismsaljsauthenabled=true). Inga slides. Bara kaffe och ett ärligt samtal om era behov.

---

## Källor

[^1]: IMY (2025). *Tillsyns- och vägledningsprioriteringar 2025*. https://www.imy.se/globalassets/bilder/publikationer/tillsyns--och-vagledningsprioriteringar-2025.pdf

[^2]: Anthropic (2025). *How do I view and sign your Data Processing Addendum (DPA)?* https://privacy.claude.com/en/articles/7996862-how-do-i-view-and-sign-your-data-processing-addendum-dpa

[^3]: Anthropic (2025). *Claude: data retention policies, storage rules, and compliance overview*. https://www.datastudios.org/post/claude-data-retention-policies-storage-rules-and-compliance-overview

[^4]: Anthropic (2025). *What Certifications has Anthropic obtained?* https://privacy.claude.com/en/articles/10015870-what-certifications-has-anthropic-obtained

[^5]: Anthropic (2025). *Is my data used for model training?* https://privacy.claude.com/en/articles/10023580-is-my-data-used-for-model-training

[^6]: Semafor (2025). *Exclusive: AWS' mega multistate AI data center is powering Anthropic's Claude*. https://www.semafor.com/article/10/29/2025/aws-massive-multi-state-ai-data-center-is-powering-anthropics-claude

[^7]: Anthropic (2025). *How long do you store my data?* https://privacy.claude.com/en/articles/10023548-how-long-do-you-store-my-data

[^8]: EDPB (2024). *Guidelines 1/2024 on processing of personal data based on legitimate interest (Article 6(1)(f) GDPR)*. https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf

[^9]: IMY (2025). *Föra register över personuppgiftsbehandlingar*. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/fora-register-over-behandling/

[^10]: Agentive AI (2025). *Is Claude GDPR-Compliant? Key Facts for Businesses*. https://agentiveaiq.com/blog/is-claude-gdpr-compliant-what-businesses-must-know

[^11]: EU AI Act (2025). *Article 4: AI literacy*. https://artificialintelligenceact.eu/article/4/

[^12]: IMY (2022). *Sanktionsavgift mot Klarna efter granskning*. https://www.imy.se/nyheter/sanktionsavgift-mot-klarna-efter-granskning/

[^13]: IMY (2026). *IMY:s prioriteringar 2026: AI, barn och brottsbekämpning*. https://www.imy.se/nyheter/imys-prioriteringar-2026--ai-barn-och-brottsbekampning

---

### Läs mer

**Relaterade artiklar:**
- [Svensk AI, svensk data: Satoris vision för digital suveränitet](/blog/svensk-ai-data-sverige-satoris-vision) - Djupdykning i datalagring och suveränitet
- [Kom igång med ChatGPT för företag: Praktisk guide för svenska team](/blog/chatgpt-foretag-kom-igang-praktisk-guide) - Hela onboarding-flödet för ChatGPT
- [AI-konsult: Komplett guide för svenska företag 2026](/blog/ai-konsult-guide-svenska-foretag) - Så väljer du rätt AI-stöd

**Satori-tjänster:**
- [Satori Uppstart](/uppstart) - Komplett AI-implementation med GDPR-dokumentation
- [Satori Claude](/claude) - Managed Claude for Work för svenska företag
- [AI-policy och kunskapsmaterial](/knowledge) - Mallar och guider