Så bygger du ett register över personuppgiftsbiträden

Se som Markdown
3 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 28 januari 2026
  1. Tre steg för att få ordning på biträdesregistret

För att kunna följa dataskyddsförordningen (GDPR) behöver varje personuppgiftsansvarig föra register över sina personuppgiftsbiträden och dessa uppgifter används i flera processer, exempelvis art. 30-registret, vid utformning av integritetspolicyn och vid upprättande av personuppgiftsbiträdesavtal när företaget agerar som biträde. Det handlar inte bara om ordning och reda – korrekt dokumentation är avgörande för att visa att man uppfyller lagens krav på ansvarsskyldighet. Nedan går vi igenom hur du bygger ett robust register.

Tre steg för att få ordning på biträdesregistret

  • Identifiera alla biträden: Börja med att kartlägga samtliga externa aktörer som behandlar personuppgifter för er räkning – exempelvis molntjänstleverantörer, löneadministratörer eller IT-konsulter. Även koncerninterna bolag kan omfattas om de behandlar uppgifter åt ett annat bolag i koncernen.
  • Dokumentera enligt artikel 30 GDPR: För varje biträde ska du dokumentera namn, kontaktuppgifter, kategorier av behandlingar som utförs, samt i tillämpliga fall uppgifter om tredjelandsöverföringar. Dokumentationen ska vara skriftlig och hållas uppdaterad.
  • Granska avtalen löpande: Enligt artikel 28 GDPR måste det finnas ett personuppgiftsbiträdesavtal med varje biträde. Se till att avtalen är aktuella och uppfyller lagens minimikrav – bland annat ska de reglera instruktioner, säkerhetsåtgärder och hantering av underbiträden.

För många organisationer är det en utmaning att hålla biträdesregistret aktuellt, särskilt om det finns många leverantörer eller snabba förändringar i IT-miljön. Därför bör uppdatering av registret kopplas till andra interna processer – exempelvis inköp av nya system, upphandlingar eller byten av externa konsulter. Det säkerställer att inga biträden missas och att företaget alltid kan redovisa en korrekt lista vid en eventuell granskning från Integritetsskyddsmyndigheten.

Det är också klokt att utse en ansvarig person eller funktion som har mandat att följa upp både registret och avtalen. Den ansvariga kan se till att nya biträden granskas innan samarbetet påbörjas och att gamla relationer avslutas korrekt, inklusive radering eller återlämnande av personuppgifter. En tydlig rutin minskar risken för otydlig ansvarsfördelning och stärker företagets förmåga att leva upp till principen om ansvarsskyldighet i GDPR. Morling Consulting hjälper er med att sätta upp både rutiner och praktiska verktyg för ett robust biträdesregister.

På Morling Consulting hjälper våra GDPR-jurister både små och medelstora verksamheter att följa GDPR, bland annat genom att skapa processer för att underhålla register över personuppgiftsbiträden.

Bild i svartvitt av Morling Consultings grundare Felix Morling.

Artikel skriven av:

Felix Morling

Senaste inlägg

Ljus dashboard med tre upphöjda kort som visualiserar tillsynens tre spår: systemstabilitet, ekonomisk brottslighet och konsumentskydd, med små accentdetaljer i orange.

6 februari 2026

Finansinspektionens tillsynsprioriteringar 2026 – detta behöver finansiella företag hantera nu
Läs mer
bilden visar två jurister och en checklista.

6 februari 2026

Juridiska fallgropar mindre organisationer
Läs mer
Illustration i Material Design som visar tre jurister framför symboler för AI-krets, lekplats och övervakning, som representerar IMY:s fokusområden offentlig AI, barns integritet och brottsbekämpning.

5 februari 2026

IMY:s prioriteringar 2026 – vad betyder de för din organisation?
Läs mer