Det är snart åtta år sedan dataskyddsförordningen, GDPR, trädde i kraft i alla medlemsländer i EU. Det är åtta år av praxis och dyrköpta erfarenheter som borde ha gjort gränserna självklara i varje marknads- och produktteam. Hur kan det fortfarande vara så vanligt att företag tror att personuppgifter, så fort de hamnar i deras formulär eller CRM-system, är deras egendom? Som om en kund, genom att klicka på ”skicka” i ett webbformulär, samtidigt hade skänkt bort äganderätten till sitt namn, sin adress, sitt personnummer eller sin köphistorik. Det skriver Markus Fredholm, konsult på Comcus.
Redaktionen
Uppdaterad: 29 oktober 2025Publicerad: 30 oktober 2025
Markus Fredholm
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Låt oss slå fast en sak direkt: Det finns ingen äganderätt till personuppgifter. Den registrerade har rättigheter – och den personuppgiftsansvarige har ansvar och skyldigheter. Och det gäller även om hen är din kund.
När en kund delar sina uppgifter med dig gör hen det för att hen förväntar sig att få något tillbaka, såsom en tjänst, en vara eller någon typ av förmån. Du får låna uppgifterna för ett visst syfte, under en begränsad tid och inom mer eller mindre tydliga ramar. Du får inte göra vad som helst med uppgifterna. Du är till och med skyldig att informera om vad du tänker göra med dem och att skydda dem på ett adekvat sätt.
Det är tyvärr här många företag går vilse. Man pratar om ”våra kunduppgifter” som om man sitter på en guldgruva som kan exploateras fritt. Andra företag är väl insatta i att de snarare har fått låna kundens uppgifter än att de äger dem. Ändå tar webbshoppar, banker och matvarukedjor gång på gång kalkylerade risker för att komma över fler uppgifter och hitta nya sätt att utnyttja uppgifterna på. Tredjepartskakor, fingerprinting och tjänster för att mäta konvertering används omfattande och utan tillräcklig kännedom om vilka regler som faktiskt gäller för behandling av kunders personuppgifter.
ANNONS
Se på personuppgifter som en lånad tillgång
Många organisationer bygger inte upp kompetensen där besluten tas — hos marknadsförare, produktägare och analytiker — vilket leder till bristande efterlevnad av GDPR, LEK (lagen om elektronisk kommunikation) och marknadsföringslagen samt en skev balans mellan individens rättigheter och företagets mål.
Det är dags för alla företag att se på personuppgifter på ett annat sätt. Inte som en ägodel, utan som en lånad tillgång. Det är ju i första hand GDPR som reglerar hur vi får behandla våra kunders och andra personers uppgifter. Men har du reflekterat över varför GDPR överhuvudtaget kom till?
Förordningen kom till för att ge människor bättre kontroll över sina personuppgifter och skapa förtroende för den digitala inre marknaden i Europa. Det handlar alltså ytterst om att tillgodose en av våra mänskliga rättigheter: rätten till privatliv. GDPR syftar till att ge individen insyn i hur de uppgifter hen delar med sig av faktiskt hanteras, ge hen kontroll över sina egna data och möjlighet att påverka hanteringen av dem – en form av självbestämmande.
GDPR är ett verktyg
När vi ser det på det sättet blir GDPR inte ett hinder, utan snarare ett verktyg för att bygga förtroende mellan företag och kund. Att respektera mänskliga rättigheter och varje individs rätt att bestämma över sig själv är något som de flesta av oss kan ställa oss bakom. GDPR sätter detta på pränt och gör det till en gemensam spelplan, en standard som både skyddar individen och stärker relationen mellan företag och kund.
När en kund delar sina uppgifter med dig gör hen det i förtroende och förväntar sig att du ska hantera hens uppgifter på ett juste sätt. Att inte uppfylla kundens förväntningar kan innebära förlorat anseende och förlorade affärer.
Tänk efter. Skulle du låna ut nyckeln till ditt hem till någon som gång på gång rotar runt i dina byrålådor? Troligen inte. Ändå är det precis det som ofta sker när en kund lånat ut sina uppgifter. Hen ger dig nyckeln till en del av sitt privatliv och förutsätter att du inte missbrukar det. Om du sviker det förtroendet är risken överhängande att hen aldrig lånar ut nyckeln igen till just dig.
Att missköta personuppgifter innebär förlorat förtroende
Förtroende är affärens hårdvaluta. Du kan köpa räckvidd med annonser, sponsra evenemang och driva försäljning – men utan förtroende spelar inget av det någon roll. Det tar år att bygga och sekunder att rasera. Att missköta personuppgifter är ett av de snabbaste sätten att förlora din kunds förtroende.
Det är hög tid att vi för en mer nykter diskussion om vems personuppgifter det faktiskt är. Företag måste sluta prata om att de ”äger” kunduppgifter och i stället erkänna att de endast fått tillgång till dem på lånad tid i ett visst syfte.
Så vad bör företag göra? Här är några raka svar:
Se över språket internt. Sluta tala om ”våra kunduppgifter”. Börja tala om ”våra kunders uppgifter”. Hur vi uttrycker oss har stor betydelse för attityd och kultur i företaget.
Börja i rätt ände. Fråga inte ”hur kan vi få ut största möjliga vinning av de här uppgifterna?”. Fråga i stället ”vad skulle individen tycka är rimligt att vi gör med hens uppgifter?”.
Utbilda och våga prata om det internt. Gör det lika naturligt att prata om hur ni hanterar kunduppgifter som att prata om kvalitet, pris eller leveranstider.
Var rakryggad. Hantera kunduppgifter på ett sätt som du inte skäms för att berätta om.
Var transparent på riktigt. En integritetspolicy som ingen orkar läsa hjälper ingen. Kommunicera på ett språk som dina kunder förstår och i ett format som är läsarvänligt.
Tänk långsiktigt. Det kortsiktiga värdet av att utnyttja data på ett sätt som känns tveksamt är ingenting jämfört med det långsiktiga förtroendekapital ni riskerar att förlora.
Det är inte ditt namn, din adress eller ditt personnummer. Det är någon annans. Och de har bara lånat ut uppgifterna till dig för att du ska kunna leverera en tjänst eller produkt som de valt att köpa.
Så länge företag fortsätter att bete sig som att de äger uppgifterna kommer vi få både fler skandalrubriker och fler förlorade kundrelationer. Den dag vi på allvar börjar se personuppgifter som något vi lånar kan vi också bygga den typ av respektfulla relationer som gynnar både företag och individer på lång sikt
Det här är inte en juridisk teknikalitet. Det är en fråga om respekt. Och respekt är alltid grunden för långvariga kundrelationer. I slutändan är det ganska enkelt: personuppgifterna tillhör alltid individen. Och de företag som fattar det, blir också de som vinner förtroendet i längden.
Markus Fredholm, konsult på Comcus – Committed Customers AB
Om författaren
Markus Fredholm är konsult, opinionsbildare och idégivare inom informationssäkerhet, cybersäkerhet, integritet och kontinuitet. Med mer än 25 års erfarenhet som bland annat företagsledare och entreprenör, har han lett organisationer genom komplexa förändringar och skapat förutsättningar för stark tillväxt. Genom sin kombination av strategiskt och operativt ledarskap hjälper han verksamheter att bygga motståndskraft och skapa en säkerhetskultur som gör det enklare att göra rätt. Hans drivkraft är att göra informationssäkerhet till en naturlig del av verksamheten och därmed stärka både människor och affärer.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
