GDPR och Claude: Pragmatisk guide för svenska företag
GDPR och AI. Måste det vara så komplicerat?
Klarna. 7,5 miljoner kronor. IMY. EU AI Act. Om du har Googlar något om GDPR och AI på sistone har du förmodligen sett de rubrikerna.
Och det är lätt att tänka att det hela är en juridisk djungel som kräver ett dedikerat dataskyddsombud, en extern juristfirma och ett halvår av arbete innan ditt team får börja använda Claude, ChatGPT, Copilot eller Klang.
Men verkligheten för ett vanligt svenskt SME är mycket enklare.
Klarnas böter handlade om bristande informationsplikt kring personuppgiftsbehandling i konsumenttjänster. Inte om att en mellanchef använde Claude för att skriva ett mötesutkast. IMY:s tillsynsprioriteringar för 2025 och 2026 fokuserar på hälso- och sjukvård, barn och unga, offentlig sektor och brottsbekämpning. Inte på 40-personers B2B-bolag som testar AI-verktyg1.
Det betyder inte att du kan strunta i GDPR. Men det betyder att du kan göra det här pragmatiskt, med rimliga insatser, och utan att anlita ett juridikteam.
Den här guiden ger dig de sex stegen. Räkna med 8 till 15 timmars arbete totalt.
Vad Anthropic redan löser åt dig
Innan vi går igenom stegen är det värt att förstå vad du faktiskt köper när du tecknar Claude for Work (Team eller Enterprise).
DPA:et är inbyggt. Anthropics Data Processing Addendum (DPA) inkluderas automatiskt i Commercial Terms of Service. Det innebär att du som kund är personuppgiftsansvarig och Anthropic är personuppgiftsbiträde. Du behöver inte förhandla ett separat biträdesavtal. Det finns redan2.
Teknisk säkerhet är på plats. AES-256-kryptering för data i vila, TLS 1.2 eller högre för data i transit3. Anthropic har SOC 2 Type II, ISO 27001:2022 och ISO/IEC 42001:2023 (det nya internationella standarden för AI-ledningssystem)4. Du kan begära kopior av dessa certifieringar via Anthropics Trust Portal.
Ingen träning på din data. Under Commercial Terms tränar Anthropic inte generativa modeller på din kod eller dina promptar, utan ditt uttryckliga samtycke. Det gäller alla betalda planer: Team, Enterprise och API5.
Standard Contractual Clauses täcker USA-överföringen. Anthropic lagrar data i USA (AWS och Google Cloud)6. Det täcks av SCCs som ingår i DPA:et. Det är det korrekta mekanismen för internationella dataöverföringar enligt GDPR2.
En sak att kontrollera direkt: Feedback-knappen. Om någon i ditt team klickar på tummen upp eller ned, eller skickar in en buggrapport via gränssnittet, kan den datan behållas i upp till fem år av Anthropic7. Stäng av den möjligheten i organisationsinställningarna om ni hanterar känsligare information.
Det handlar alltså inte om att bygga upp ett GDPR-ramverk från grunden. Det handlar om att komplettera det Anthropic redan gjort med rätt intern dokumentation.
Sex steg till GDPR-compliance
Nedan följer de sex konkreta stegen. De flesta tar 1 till 3 timmar vardera.
Steg 1: Gör en intresseavvägning (LIA)
Tid: 2-3 timmar
Intresseavvägning (Legitimate Interest Assessment, LIA) är en dokumenterad bedömning av om den rättsliga grunden "berättigat intresse" (GDPR artikel 6.1.f) gäller för er användning av AI-verktyg8.
För intern, manuell användning av Claude Team, där medarbetare skriver egna promptar och inte klistrar in personuppgifter om tredje parter, är berättigat intresse ofta rätt grund. Inte samtycke. Inte avtal. Berättigat intresse.
Trestegsmodellen ser ut så här:
- Ändamålstest: Vilket konkret affärsproblem löser ni? "Effektivisera intern dokumenthantering" är ett legitimt ändamål. Skriv ner det specifikt.
- Nödvändighetstest: Är AI det minst integritetskränkande alternativet? Om svaret är ja, dokumentera varför.
- Avvägningstest: Väger medarbetarnas integritetsintressen tyngre än bolagets effektivitetsintresse? I de flesta interna AI-fall gör de inte det, förutsatt att ni har tydliga riktlinjer för vad som är tillåtet.
Leverabeln: ett enkelt dokument på 1 till 2 sidor som besvarar dessa tre frågor.
Steg 2: Uppdatera integritetspolicyn
Tid: 1-2 timmar
Det handlar om ett tillägg, inte en omskrivning.
Lägg till ett stycke som informerar kunder och medarbetare om att personuppgifter kan komma att behandlas av tredjepartsleverantörer baserade utanför EU, däribland Anthropic (USA), och att dataöverföringen täcks av Standard Contractual Clauses.
Exempelformuleringar att anpassa:
"Vi använder AI-verktyg i vår verksamhet, däribland Claude (Anthropic, Inc., USA). Eventuell behandling av personuppgifter via dessa tjänster sker med stöd av Standard Contractual Clauses (SCC) i enlighet med GDPR artikel 46."
Det är inte mer komplicerat än så. Men det måste stå där.
Steg 3: Uppdatera registerförteckningen (RoPA)
Tid: 1-2 timmar
Artikel 30 i GDPR kräver att de flesta organisationer för ett register över sina personuppgiftsbehandlingar9. Notera: Undantaget för företag under 250 anställda gäller inte om ni behandlar känsliga personuppgifter.
Lägg till en eller två rader i er befintliga registerförteckning. Minimikrav per rad:
- Behandlingsaktivitet
- Ändamål
- Rättslig grund
- Datakategorier
- Mottagare
- Lagringstid
- Säkerhetsåtgärder
Rad 1: AI-assisterat internt arbete (Claude/ChatGPT/Copilot för textproduktion, analys, mötesdokument). Rättslig grund: Berättigat intresse. Mottagare: Anthropic, OpenAI, Microsoft (USA). Lagringstid: Enligt respektive leverantörs DPA.
Rad 2 (om aktuellt): AI-assisterad kundsupport eller kundkommunikation. Separat rad med kunddata som kategori.
Inget mer än det krävs för att uppfylla artikel 30 i grundfallet.
Steg 4: Gör en enkel riskbedömning
Tid: 1-2 timmar
En fullständig konsekvensbedömning (Data Protection Impact Assessment, DPIA) krävs enligt GDPR artikel 35 bara vid systematisk profilering, behandling i stor skala eller annan högriskbehandling10. Manuell, intern användning av Claude Team hamnar sällan i den kategorin.
Vad ni ändå bör dokumentera:
- Risker: Oavsiktlig inmatning av personuppgifter i promptar, data som skickas till USA
- Åtgärder: Tydlig AI-policy (se steg 5), utbildning för berörda medarbetare, inga känsliga personuppgifter i promptar
En enkel tabell med risk och motåtgärd räcker. Det visar att ni har tänkt igenom det. Det är ofta nog.
Steg 5: Ta fram en intern AI-policy
Tid: 1-2 timmar
AI-policyn fyller två syften. Den ger tydlig intern styrning. Och den uppfyller EU AI Act artikel 4, som trädde i kraft den 2 februari 2025 och kräver att leverantörer och användare av AI-system säkerställer tillräcklig "AI-litteracitet" hos sin personal11.
En grundläggande AI-policy bör täcka:
- Tillåten data: Vad får läggas in i AI-verktyg? (t.ex. intern text, anonymiserade exempel, ej personuppgifter om kunder utan specifik hantering)
- Förbjudna användningsfall: Känsliga personuppgifter, konfidentiell finansiell information, personuppgifter om barn
- Ansvarsfördelning: Vem är ansvarig för AI-hanteringen i organisationen?
- Incidenthantering: Vad gör ni om något går fel?
- Verktyg som omfattas: ChatGPT, Claude, GitHub Copilot, Klang och andra godkända verktyg
På /knowledge finns ett malldokument för AI-policy som ni kan anpassa. Det tar kortare tid att fylla i ett färdigt mall än att skriva från grunden.
Steg 6: Verifiera DPA:t och subprocessorerna
Tid: 30 minuter
En snabb faktakoll mot Anthropics officiella dokumentation:
- Bekräfta att DPA:et ingår i Commercial Terms (det gör det)2
- Kontrollera listan över subprocessorer (AWS, Google Cloud) och att SCCs täcker dessa
- Notera avtalets villkor för dataradering: 30 dagar efter avtalsslut3
- Notera Anthropics avtalade svarstid vid säkerhetsincident: 48 timmar3
Det sistnämnda är viktigt. GDPR kräver att ni som personuppgiftsansvarig anmäler incidenter till IMY inom 72 timmar. Anthropic förbinder sig att informera er inom 48 timmar, vilket ger er marginal12.
Sammanfattning: Steg, tid och leverabler
| Steg | Aktivitet | Uppskattad tid | Leverabel |
|---|---|---|---|
| 1 | Intresseavvägning (LIA) | 2-3 h | Dokument, 1-2 sidor |
| 2 | Uppdatera integritetspolicy | 1-2 h | Tillägg i befintlig policy |
| 3 | Registerförteckning (RoPA) | 1-2 h | 1-2 nya rader i register |
| 4 | Riskbedömning | 1-2 h | Enkel risk/åtgärd-tabell |
| 5 | Intern AI-policy | 1-2 h | Ifylld policymall |
| 6 | Verifiera DPA:t | 30 min | Intern notering |
| Totalt | 7-13 h | Komplett dokumentation |
Manuella promptar vs. API-integration
Det finns två grundläggande scenarier, och de har helt olika riskprofiler.
Scenario A: Manuell användning. En medarbetare öppnar Claude.ai, skriver ett mötesutkast eller analyserar ett textdokument, och kopierar ut resultatet. Inga personuppgifter i prompten, eller anonymiserade uppgifter. Det här är det vanligaste fallet och standardstegen ovan täcker det helt.
Scenario B: API-integration mot CRM eller affärssystem. Claude kopplas ihop med ert CRM, er ärendehantering eller er databas. Personuppgifter flödar automatiskt in i promptar. Här behöver ni en fullständig DPIA, detaljerad datakartläggning och eventuellt starkare avtalsskydd. Det är ett helt annat projekt.
Budskapet: Börja med Scenario A. Det ger 90 procent av värdet för en bråkdel av bördan. Bygg upp AI-kompetensen internt. Utvärdera integrationer som ett separat, medvetet beslut när grunden är på plats.
Läs mer om data och suveränitet i djupdykningen Svensk AI, svensk data.
Hur stor är risken egentligen?
Låt oss vara konkreta om den faktiska riskbilden för ett typiskt svenskt B2B-bolag.
Klarnas 7,5 miljoner. IMY beslutade 2022 om sanktionsavgiften mot Klarna Bank AB för bristande informationsplikt i konsumenttjänster. Domstolen sänkte sedan avgiften till 6 miljoner. Det handlade om otydlig information till hundratusentals konsumenter om ändamål, rättsliga grunder och internationella dataöverföringar12. Det är en annan riskdimension än ett B2B-bolag med 30 anställda som använder Claude för intern dokumenthantering.
IMY:s faktiska tillsynsfokus. IMY:s prioriteringar 2025 inkluderade arbetslivet, AI inom vård och omsorg, och kameraövervakning1. För 2026 är prioriteringarna AI i offentlig sektor, barn och unga, och brottsbekämpning13. Inte det marknadssegment de flesta läsare av den här artikeln tillhör.
EU AI Act och SME:er. AI Act artikel 4 om AI-litteracitet gäller sedan februari 2025, men tillsyns- och sanktionsreglerna träder inte i full kraft förrän i augusti 2026. SME:er har enligt EU-kommissionen förenklingar vad gäller teknisk dokumentation. Den verkliga risken är inte böter idag. Det är att stå utan AI-kompetens när konkurrenterna bygger upp sin11.
Den realistiska riskbedömningen: Om ni gör grundjobbet (de sex stegen ovan), använder Claude for Work i stället för gratiskontot, och har en AI-policy på plats, är ni i ett avsevärt bättre läge än majoriteten av svenska SME:er.
Tidslinje: Från noll till compliant
Det här är faktiskt görbart på två veckor, på deltid.
Vecka 1 (4-6 timmar):
- Gör LIA-bedömningen och dokumentera den
- Lägg till AI-stycket i integritetspolicyn
- Uppdatera registerförteckningen med 1-2 nya rader
Vecka 2 (3-5 timmar):
- Gör den enkla riskbedömningen
- Fyll i AI-policy-mallen (hämta från /knowledge)
- Gör DPA-verifieringen och notera dataraderingsvillkor och incidenttider
Klart. Två veckor, deltid. Det krävs ingen extern jurist för steg 1 till 6 så länge ni håller er till manuell användning av standardverktyg som Claude Team.
Nästa steg
GDPR-compliansen för AI-verktyg är ett projekt, inte ett permanent tillstånd. Dokumentationen behöver uppdateras när verktyg eller processerna förändras. Men grunden lägger ni en gång.
Vill du ha hjälp att komma igång snabbt?
- Satori Uppstart: Vi hjälper er att sätta grunden för AI-implementationen, inklusive GDPR-dokumentation och AI-policy anpassad för er verksamhet.
- AI-policy och kunskapsmaterial: Mallar och guider du kan börja använda direkt.
Om ni vill fördjupa er i hur Satori hanterar data och var era promptar faktiskt lagras, läs mer om Satori Claude.
Och om du vill ha ett ärligt samtal om var ert företag faktiskt står, boka 30 minuter. Inga slides. Bara kaffe och ett ärligt samtal om era behov.
Källor
Läs mer
Relaterade artiklar:
- Svensk AI, svensk data: Satoris vision för digital suveränitet - Djupdykning i datalagring och suveränitet
- Kom igång med ChatGPT för företag: Praktisk guide för svenska team - Hela onboarding-flödet för ChatGPT
- AI-konsult: Komplett guide för svenska företag 2026 - Så väljer du rätt AI-stöd
Satori-tjänster:
- Satori Uppstart - Komplett AI-implementation med GDPR-dokumentation
- Satori Claude - Managed Claude for Work för svenska företag
- AI-policy och kunskapsmaterial - Mallar och guider
Footnotes
-
IMY (2025). Tillsyns- och vägledningsprioriteringar 2025. https://www.imy.se/globalassets/bilder/publikationer/tillsyns--och-vagledningsprioriteringar-2025.pdf ↩ ↩2
-
Anthropic (2025). How do I view and sign your Data Processing Addendum (DPA)? https://privacy.claude.com/en/articles/7996862-how-do-i-view-and-sign-your-data-processing-addendum-dpa ↩ ↩2 ↩3
-
Anthropic (2025). Claude: data retention policies, storage rules, and compliance overview. https://www.datastudios.org/post/claude-data-retention-policies-storage-rules-and-compliance-overview ↩ ↩2 ↩3
-
Anthropic (2025). What Certifications has Anthropic obtained? https://privacy.claude.com/en/articles/10015870-what-certifications-has-anthropic-obtained ↩
-
Anthropic (2025). Is my data used for model training? https://privacy.claude.com/en/articles/10023580-is-my-data-used-for-model-training ↩
-
Semafor (2025). Exclusive: AWS' mega multistate AI data center is powering Anthropic's Claude. https://www.semafor.com/article/10/29/2025/aws-massive-multi-state-ai-data-center-is-powering-anthropics-claude ↩
-
Anthropic (2025). How long do you store my data? https://privacy.claude.com/en/articles/10023548-how-long-do-you-store-my-data ↩
-
EDPB (2024). Guidelines 1/2024 on processing of personal data based on legitimate interest (Article 6(1)(f) GDPR). https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf ↩
-
IMY (2025). Föra register över personuppgiftsbehandlingar. https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/fora-register-over-behandling/ ↩
-
Agentive AI (2025). Is Claude GDPR-Compliant? Key Facts for Businesses. https://agentiveaiq.com/blog/is-claude-gdpr-compliant-what-businesses-must-know ↩
-
EU AI Act (2025). Article 4: AI literacy. https://artificialintelligenceact.eu/article/4/ ↩ ↩2
-
IMY (2022). Sanktionsavgift mot Klarna efter granskning. https://www.imy.se/nyheter/sanktionsavgift-mot-klarna-efter-granskning/ ↩ ↩2
-
IMY (2026). IMY:s prioriteringar 2026: AI, barn och brottsbekämpning. https://www.imy.se/nyheter/imys-prioriteringar-2026--ai-barn-och-brottsbekampning ↩