Facebook Instagram LinkedIn X-twitter
Bokavtale
IT lag

7 GDPR-risker som alla företag måste känna till vid delning av data

  • Hem
  • Blogg
  • 7 GDPR-risker som alla företag måste känna till vid delning av data
Tillbaka till alla artiklar
Företagsstyrelserum med bärbar dator, juridiska dokument och en GDPR-efterlevnadsinstrumentpanel som visar varningsindikatorer — illustration som åtföljer juridiska risker med datadelning enligt GDPR

Datadelning är livsnerven i modern handel. Oavsett om du anlitar en ny molnleverantör, samarbetar med en marknadsföringsbyrå eller integrerar ett tredjepartssystem för HR, flödar personuppgifter ständigt mellan organisationer. Men här är den obekväma sanningen: de flesta företag underskattar det juridiska minfält som datadelning utgör enligt den allmänna dataskyddsförordningen (GDPR).

Insatserna är reella. Böterna kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen – beroende på vilket som är högst. Utöver ekonomiska påföljder riskerar du skadat rykte, granskning från myndigheter och civilrättsliga skadeståndskrav från berörda individer. Den nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens, eller AP) har gjort det tydligt: ​​okunskap är inte ett försvar.

Den här artikeln går igenom sju kritiska GDPR-risker som uppstår vid delning av personuppgifter. Varje risk är förankrad i specifika GDPR-bestämmelser, illustrerad med verkliga konsekvenser och i kombination med praktisk vägledning som hjälper dig att följa reglerna. Oavsett om du är företagare, compliance officer eller jurist som är verksam i Nederländerna är det viktigt att förstå dessa fallgropar.

1. Delning av data utan giltig rättslig grund (artikel 6 GDPR)

Risken: Du kan inte dela personuppgifter bara för att det är bekvämt eller fördelaktigt. Varje fall av datadelning kräver en giltig rättslig grund enligt artikel 6 i GDPR.

Varför företag gör fel: Många organisationer antar att det räcker med ett kommersiellt skäl att dela data. Det är det inte. GDPR anger sex lagliga grunder för behandling: samtycke, avtalsenlig nödvändighet, rättslig förpliktelse, vitala intressen, offentlig uppgift och berättigade intressen. Var och en har specifika krav och begränsningar.

Till exempel åberopas ofta ”berättigade intressen” för att rättfärdiga datadelning med partners eller tjänsteleverantörer. Men denna grund kräver en noggrann avvägning: dina intressen får inte åsidosätta rättigheterna och friheterna för de individer vars uppgifter du behandlar. Och du måste dokumentera denna bedömning.

Rättslig grund: Artikel 6 GDPR anger en uttömmande lista över lagliga grunder. Artikel 5(1)(a) i GDPR föreskriver att all behandling ska vara laglig, rättvis och transparent.

Verkliga konsekvenser: AP har utfärdat böter till organisationer som delat kunddata med tredje part i marknadsföringssyfte utan en vederbörlig rättslig grund. Även om uppgifterna anonymiserades eller aggregerades, om återidentifiering är möjlig, förblir de personuppgifter och kräver en rättslig grund.

Praktisk takeaway: Innan du delar personuppgifter, identifiera och dokumentera vilken rättslig grund som gäller. Om du förlitar dig på legitima intressen, genomför och registrera en bedömning av legitima intressen. Om du använder samtycke, se till att det är frivilligt, specifikt, välgrundat och otvetydigt.

2. Förvirring kring roller: Personuppgiftsansvarig kontra personuppgiftsbiträde (artikel 4(7)–(8) GDPR)

Risken: GDPR skiljer mellan personuppgiftsansvariga (som fastställer ändamålen och medlen för behandlingen) och personuppgiftsbiträden (som behandlar uppgifter för en personuppgiftsansvarigs räkning). Att felaktigt identifiera din roll – eller din partners – skapar allvarliga brister i efterlevnaden.

Varför företag gör fel: I praktiken kan roller vara tvetydiga. Om du delar data med en SaaS-leverantör, är de en personuppgiftsansvarig eller personuppgiftsbehandlare? Tänk om de använder dina data för att förbättra sina algoritmer? Många företag kallar som standard varje leverantör för "personuppgiftsbehandlare" utan att ordentligt analysera relationen.

Felklassificering är viktigt eftersom personuppgiftsansvariga och personuppgiftsbehandlare har olika skyldigheter. Personuppgiftsansvariga måste säkerställa att personuppgiftsbehandlare tillhandahåller tillräckliga garantier för efterlevnad (artikel 28 i GDPR). Gemensamma personuppgiftsansvariga måste komma överens om sina respektive ansvarsområden (artikel 26 i GDPR). Om du gör fel kan du hållas ansvarig för intrång som du inte ens visste hade inträffat.

Rättslig grund: Artikel 4(7) och (8) i GDPR definierar ”registeransvarig” och ”personuppgiftsbehandlare”. Artikel 24 i GDPR beskriver den registeransvariges ansvarsskyldigheter.

Verkliga konsekvenser: Europadomstolen dömde i Mode-ID (C-40/17) att även delvis fastställande av ändamål kan göra er till gemensamt registeransvariga. Detta innebär att ni kan hållas gemensamt ansvariga för GDPR-överträdelser, även om en annan part orsakade dem.

Praktisk takeaway: Kartlägg dataflöden och bestäm vem som bestämmer varför och hur data behandlas. Dokumentera detta skriftligen och se till att varje part förstår sin roll och sina skyldigheter.

3. Saknat eller otillräckligt databehandlingsavtal (artikel 28 GDPR)

Risken: Om du anlitar ett personuppgiftsbiträde för att hantera personuppgifter för din räkning är du enligt lag skyldig att ha ett skriftligt personuppgiftsbiträdesavtal. Inga undantag.

Varför företag gör fel: Det är frestande att hoppa över pappersarbetet, särskilt med betrodda eller långvariga partners. Men utan ett kompatibelt dataskyddsavtal bryter du mot artikel 28 i GDPR från dag ett – även om ingen faktisk skada uppstår.

Ett korrekt dataskyddsavtal måste innehålla specifika obligatoriska klausuler: föremålet för behandlingen och varaktigheten, behandlingens art och syfte, typen av personuppgifter, kategorier av registrerade samt den registeransvariges skyldigheter och rättigheter. Det måste också behandla underbehandling, datasäkerhet och anmälan av intrång.

Rättslig grund: Artikel 28(3) i GDPR listar det obligatoriska innehållet i ett dataskyddsavtal. Artikel 28(4) i GDPR kräver uttryckligt tillstånd för underbiträden.

Verkliga konsekvenser: Personuppgiftsmyndigheten har sanktionerat organisationer för att anlita personuppgiftsbiträden utan tillräckliga dataskyddsavtal. Även om personuppgiftsbiträdet självt följer reglerna kan den personuppgiftsansvarige fortfarande bötfällas för att inte ha ingått ett korrekt avtal.

Praktisk takeaway: Använd en standardiserad mall för dataskyddsavtal som täcker alla krav enligt artikel 28(3). Granska befintliga avtal för att säkerställa att de är GDPR-kompatibla. Anslut inte till någon ny personuppgiftsbiträde utan ett undertecknat dataskyddsavtal.

4. Olaglig överföring till tredjeländer utanför EES (artiklarna 44–49 GDPR & Schrems II)

Risken: Överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES) är starkt begränsad. Du kan bara göra det om destinationslandet erbjuder en adekvat skyddsnivå – eller om du implementerar lämpliga skyddsåtgärder.

Varför företag gör fel: Många företag använder molntjänster, betalningsleverantörer eller analysverktyg som finns i USA eller Asien utan att inse att de utlöser internationella överföringsregler. Även om ditt avtal är med en EU-enhet gäller överföringsregler om data lagras eller nås utanför EES.

Ocuco-landskapet Schrems II Domen (mål C-311/18) ogiltigförklarade EU:s och USA:s integritetsskydd och förstärkte ståndpunkten att standardavtalsklausuler (SCC) ensamma inte är tillräckliga. Du måste också göra en konsekvensbedömning av överföringar (TIA) för att utvärdera om destinationslandets lagar undergräver det skydd som garanteras av SCC:er.

Rättslig grund: Artiklarna 44–49 i GDPR reglerar internationella överföringar. Kapitel V i GDPR kräver beslut om adekvat skydd (artikel 45) eller lämpliga skyddsåtgärder (artikel 46), såsom standardkontraktsklausuler.

Verkliga konsekvenser: AP kan beordra dig att avbryta eller förbjuda dataöverföringar till tredjeländer om tillräckliga skyddsåtgärder inte finns på plats. Företag har drabbats av verkställighetsåtgärder och anseendeskador för att ha överfört data till USA utan att genomföra en TIA i efterhand.Schrems II.

Praktisk takeaway: Identifiera alla överföringar från tredjeländer i era dataflöden. Kontrollera om det finns ett beslut om adekvat skydd. Om inte, implementera standardkontraktsklausuler (SCC) och genomför en TIA (översyn av gränsvärden). Dokumentera kompletterande åtgärder om det behövs (t.ex. kryptering, pseudonymisering).

5. Underlåtenhet att genomföra en konsekvensbedömning avseende dataskydd (artikel 35 i GDPR)

Risken: En konsekvensbedömning gällande dataskydd (DPIA) är obligatorisk när datadelning sannolikt kommer att resultera i en hög risk för individers rättigheter och friheter. Detta inkluderar storskalig behandling av särskilda kategorier av uppgifter, systematisk övervakning eller användning av ny teknik.

Varför företag gör fel: Många organisationer behandlar DPIA som valfria eller endast relevanta för "stora" projekt. I verkligheten kan delning av hälsodata med en tredjeparts analysplattform, driftsättning av AI-drivna profileringsverktyg eller kombination av datamängder från flera källor utlösa kravet på DPIA.

En DPIA är inte bara en övning där man kryssar i rutor. Det är en strukturerad process för att identifiera risker, bedöma deras allvarlighetsgrad och fastställa åtgärder för att mildra dem. Om kvarvarande risker kvarstår höga måste du konsultera AP innan du fortsätter.

Rättslig grund: Artikel 35 i GDPR föreskriver DPIA för högriskbehandling. AP har publicerat riktlinjer för när en DPIA krävs.

Verkliga konsekvenser: Underlåtenhet att genomföra en DPIA när det krävs är i sig ett brott mot GDPR. AP har bötfällt organisationer för att fortsätta med högriskdatadelning utan att slutföra en DPIA, även när inget faktiskt dataintrång inträffat.

Praktisk takeaway: Granska alla datadelningsaktiviteter för DPIA-utlösare. Genomför en granskning om du är osäker. Involvera ditt dataskyddsombud (DPO) och dokumentera bedömningsprocessen noggrant.

6. Otillräcklig information till registrerade (artiklarna 13 och 14 i GDPR)

Risken: Transparens är en hörnsten i GDPR. När du samlar in eller delar personuppgifter måste du informera de registrerade om vem som kommer att ta emot deras uppgifter, för vilket ändamål och på vilken rättslig grund.

Varför företag gör fel: Sekretessmeddelanden är ofta vaga eller föråldrade. Fraser som ”vi kan komma att dela dina uppgifter med betrodda partners” räcker inte. Du måste ange kategorierna av mottagare (t.ex. ”molnhotellleverantörer”, ”marknadsföringsbyråer”) och, där det är relevant, namnge dem.

När data erhålls indirekt – till exempel från en dataförmedlare eller annan registeransvarig – inför artikel 14 i GDPR ytterligare informationsskyldigheter, inklusive informationskällan.

Rättslig grund: Artiklarna 13 och 14 i GDPR listar den information som måste lämnas till registrerade. Artikel 5(1)(a) i GDPR kräver transparens i all behandling av personuppgifter.

Verkliga konsekvenser: AP har sanktionerat företag för att de inte informerat individer om att deras data delades med tredje part. Även om själva delningen var laglig är otillräcklig transparens ett fristående intrång.

Praktisk takeaway: Granska och uppdatera era integritetsmeddelanden för att tydligt beskriva datadelningspraxis. Se till att meddelandena är lättillgängliga och skrivna på ett enkelt språk. När du delar data med nya partners, uppdatera era meddelanden innan delningen börjar.

7. Pseudonymisering som en falsk trygghetskänsla

Risken: Pseudonymisering – att ersätta direkta identifierare med koder eller tokens – uppmuntras enligt GDPR som en säkerhetsåtgärd. Men det gör inte data anonyma. Om uppgifterna fortfarande kan kopplas tillbaka till en individ förblir de personuppgifter och omfattas av GDPR:s fulla tillämpningsområde.

Varför företag gör fel: Företag antar ofta att pseudonymiserad data är "säker" att dela utan restriktioner. I praktiken minskar pseudonymisering bara risken; den eliminerar den inte. Om du delar pseudonymiserad data med en partner som har tillgång till nyckeln eller andra datamängder som möjliggör återidentifiering, behandlar du fortfarande personuppgifter.

Rättslig grund: Artikel 4(5) i GDPR definierar pseudonymisering. Skäl 26 i GDPR förtydligar att pseudonymiserade uppgifter förblir personuppgifter om de inte är verkligt anonymiserade (dvs. återidentifiering inte längre är möjlig på något rimligt sätt).

Verkliga konsekvenser: AP har i sina riktlinjer förtydligat att pseudonymisering inte är ett "slipp ur fängelset"-kort. Om återidentifiering är möjlig gäller alla GDPR-skyldigheter, inklusive att ha en rättslig grund, genomföra DPIA och säkerställa tillräcklig säkerhet.

Praktisk takeaway: Behandla pseudonymiserade uppgifter som personuppgifter om du inte har genomgått en rigorös anonymiseringsprocess som validerats av experter. Dokumentera de tekniska och organisatoriska åtgärder som finns för att förhindra återidentifiering.

Vanliga frågor om partihandel med mat och dryck

När är datadelning tillåten enligt GDPR?

Datadelning är endast laglig om du har en giltig rättslig grund enligt artikel 6 GDPR. De sex rättsliga grunderna är: samtycke, avtalsenlig nödvändighet, rättslig förpliktelse, vitala intressen, allmän uppgift och berättigade intressen. Du måste också följa principerna om laglighet, rättvisa, transparens, ändamålsbegränsning, dataminimering, riktighet, lagringsbegränsning, integritet och sekretess (artikel 5 GDPR). I praktiken innebär detta att tydligt dokumentera varför du delar data, säkerställa att syftet överensstämmer med varför du ursprungligen samlade in dem och informera registrerade om delningen.

Vad är skillnaden mellan en styrenhet och en processor?

A styrenhet fastställer ändamålen och medlen för behandling av personuppgifter. Processorn behandlar data för den registeransvariges räkning enligt specifika instruktioner. Denna distinktion är viktig eftersom registeransvariga primärt ansvarar för efterlevnaden av GDPR, medan personuppgiftsbiträden har mer begränsade skyldigheter (främst att säkerställa säkerhet och sekretess). Om du delar data med en leverantör som behandlar dem enligt dina instruktioner – till exempel en löneleverantör eller molnlagringstjänst – är de vanligtvis personuppgiftsbiträden. Om de också bestämmer hur de ska använda uppgifterna för sina egna ändamål kan de vara en (gemensam) personuppgiftsbiträde. Felaktig identifiering av roller kan leda till luckor i ansvarsskyldighet och gemensamt ansvar för intrång.

När är ett databehandlingsavtal obligatoriskt?

Ett dataskyddsavtal är obligatoriskt när du anlitar ett personuppgiftsbiträde för att hantera personuppgifter för din räkning (artikel 28 i GDPR). Detta gäller oavsett storleken på din organisation eller mängden data. Dataskyddsavtalet måste vara skriftligt och innehålla specifika obligatoriska klausuler, såsom föremålet för och varaktigheten av behandlingen, art och syfte, datatyper och kategorier av registrerade samt båda parters skyldigheter avseende säkerhet, anmälan av intrång och underleverantörsbehandling. Utan ett kompatibelt dataskyddsavtal gör du dig skyldig till brott från det ögonblick då personuppgiftsbiträdet börjar behandla, även om ingen skada uppstår.

Kan jag dela kunduppgifter med en part utanför EU?

Ja, men bara om strikta villkor är uppfyllda. Enligt artiklarna 44–49 i GDPR får du överföra uppgifter till ett tredjeland om: (a) Europeiska kommissionen har utfärdat ett beslut om adekvat skyddsnivå för det landet, eller (b) du har infört lämpliga skyddsåtgärder, såsom standardavtalsklausuler. Schrems II Vidare måste du genomföra en konsekvensbedömning av överföringar (TIA) för att utvärdera om destinationslandets lagar (t.ex. statlig övervakning) undergräver det skydd som garanteras av standardkontraktsklausulerna. Om risker kvarstår måste du implementera kompletterande åtgärder, såsom kryptering eller dataminimering. Överföringar utan tillräckliga skyddsåtgärder kan leda till verkställighetsåtgärder från AP, inklusive avstängning av överföringen.

När krävs en DPIA för datadelning?

En DPIA är obligatorisk enligt artikel 35 i GDPR när behandling sannolikt kommer att resultera i en hög risk för individers rättigheter och friheter. Detta inkluderar: storskalig behandling av särskilda kategorier av uppgifter (t.ex. hälso-, biometriska och genetiska data), systematisk övervakning av offentligt tillgängliga områden, automatiserat beslutsfattande med rättsliga eller liknande betydande effekter och användning av ny teknik. Vid delning av data krävs ofta en DPIA om du kombinerar datamängder, delar känslig information eller använder uppgifterna för profilering eller AI-driven analys. AP har publicerat en lista över behandlingsåtgärder som kräver en DPIA. Om du är osäker, genomför en – det är bättre att vara på den säkra sidan.

Vilka böter kan företag få för att bryta mot GDPR?

GDPR föreskriver två nivåer av böter. Den lägre nivån – upp till 10 miljoner euro eller 2 % av den globala årsomsättningen – gäller för intrång som att inte implementera lämpliga säkerhetsåtgärder eller att inte genomföra en DPIA när det krävs. Den högre nivån – upp till 20 miljoner euro eller 4 % av den globala årsomsättningen – gäller allvarligare intrång, inklusive avsaknad av laglig grund för behandling, olagliga internationella överföringar eller kränkning av registrerades rättigheter. AP fastställer bötesbeloppet baserat på faktorer som intrångets art och allvar, om det var avsiktligt eller oaktsamt, antalet berörda individer och eventuella mildrande åtgärder som vidtagits. Den senaste tidens tillämpning visar att AP är villig att ålägga betydande böter, särskilt för systematiska eller avsiktliga överträdelser.

Är det alltid säkert att dela pseudonymiserade data?

Nej. Pseudonymisering minskar risken men eliminerar den inte. Enligt artikel 4(5) i GDPR innebär pseudonymisering att direkta identifierare (som namn) ersätts med koder eller pseudonymer. Men om uppgifterna fortfarande kan kopplas tillbaka till en individ – till exempel genom att använda ytterligare information som du eller mottagaren innehar – förblir de personuppgifter och omfattas helt av GDPR. Det innebär att du fortfarande behöver en rättslig grund, måste informera registrerade och måste säkerställa tillräcklig säkerhet. Endast sann anonymisering – där återidentifiering inte längre är möjlig på något rimligt sätt – tar bort uppgifter från GDPR:s tillämpningsområde. I praktiken är det svårt att uppnå verklig anonymisering och kräver expertvalidering.

Vad ska jag göra om mitt företag drabbas av ett dataintrång på grund av olaglig datadelning?

Om du upptäcker ett personuppgiftsintrång – inklusive ett som orsakats av olaglig datadelning – har du 72 timmar att underrätta AP enligt artikel 33 GDPR (såvida inte intrånget sannolikt inte kommer att resultera i en risk för individers rättigheter och friheter). Du måste också underrätta berörda individer utan onödigt dröjsmål om intrånget sannolikt kommer att resultera i en hög risk för dem (artikel 34 GDPR). Omedelbara åtgärder inkluderar: att begränsa intrånget, bedöma dess omfattning och inverkan, dokumentera vad som hände och vad du gör åt det, och underrätta AP via deras onlineportal. Underlåtenhet att underrätta kan leda till separata böter. AP kommer att bedöma om verkställighetsåtgärder är motiverade baserat på intrångets allvarlighetsgrad och dina åtgärder.

Skydda ditt företag – Få expertrådgivning

Datadelning är oundvikligt, men GDPR-överträdelser behöver inte vara det. De sju riskerna som beskrivs ovan är inte teoretiska – de är hämtade från verkliga verkställighetsärenden, domstolsbeslut och regulatoriska riktlinjer. Var och en av dem kan leda till böter, ansvarskrav och anseendeskador.

De goda nyheterna? Med rätt juridisk ram, tydlig dokumentation och proaktiva efterlevnadsåtgärder kan du dela data tryggt och lagligt. Men att göra det rätt kräver mer än generell rådgivning – det kräver skräddarsytt juridiskt stöd som förstår din verksamhet, dina dataflöden och de specifika risker du står inför.

Vänta inte på att AP ska knacka på dörren. Om du är osäker på om dina datadelningsrutiner är GDPR-kompatibla, eller om du behöver hjälp med att utarbeta dataskyddsavtal, genomföra DPIA eller hantera internationella överföringar, kontakta en specialiserad integritetsjurist. Ditt företag – och dina kunder – förtjänar inget mindre.

Behöver du juridisk hjälp?

Kontakt Law & More för expertrådgivning i dina juridiska frågor. Vårt flerspråkiga team är redo att hjälpa dig.

Boka en konsultation
Kontakta oss

Behöver du juridisk rådgivning?

Våra erfarna jurister är redo att hjälpa till med dina juridiska frågor.

Boka en konsultation

Relaterade artiklar

Flygfoto över ett modernt teknikcampus vid gyllene timmen, med kontorsbyggnader i glas omgivna av gröna kullar och en avlägsen stadssilhuett – som symboliserar skärningspunkten mellan teknologi och juridisk risk.
STRAFFLAG, IT lag

Straffrättsligt ansvar för teknikentreprenörer: när blir en civilrättslig tvist om immateriella rättigheter straffrättsligt?

Ett holländskt SaaS-företag får ett upphörandebrev som hävdar att en kärnfunktion i deras

Läs mer
Modernt kontor vid gyllene timmen med tekniska ritningar, ett patentdokument och en mässingsprototyp på ett elegant skrivbord, med utsikt över en stadssilhuett
IT lag

Att ansöka om patent i Nederländerna: Den kompletta guiden för företagare

1. Introduktion – Varför är ett patent viktigt för entreprenörer? Du har ägnat månader åt –

Läs mer
IT lag

Datalagringsperioder enligt nederländsk lag: Hur länge får ni spara kunddata?

Holländsk lag har en tvåsidig strategi för att lagra kunddata. Affärsregister som finansiella dokument

Läs mer

Håll dig uppdaterad om nederländsk lag

Prenumerera på vårt nyhetsbrev för de senaste juridiska insikterna, regeluppdateringarna och praktiska råd.

Law & More Logotyp
Alla logotyper vertikalt (1)

Tjänster

Verksamhetsområden

Snabb länk

Kontaktinformation

Facebook Instagram LinkedIn Twitter

© 2026 Law & More. Alla rättigheter förbehållna.

Öppettider image.webp
Klantenvertellen.nl Law and More kundrecensioner

Internationell advokatbyrå som betjänar företag och privatpersoner i Eindhoven och Amsterdam. 

Expertis inom Brainports teknikekosystem.

 

Facebook Instagram LinkedIn Twitter
Logotyper

Tjänster

Verksamhetsområden

Snabb länk

© 2026 Law & More. Alla rättigheter förbehållna.

Allmänna villkor  ·  Sekretesspolicy  ·  Klagomål  ·  Cookiepolicy

Kontakt

  • (+31) 20-369 71 21
  • Amsterdam: Pietersbergweg 291, 1105 BM (besöksplats)
  • mån-fre: 08.00-18.00 | Lör-sön: kl. 09.00-17.00

språk:

Öppettider image.webp
Klantenvertellen.nl Law and More kundrecensioner