Nyhet4 december 2025

Småföretaget: Vi tvingas köpa GDPR-hjälp motsvarande två heltider

GDPR-reglerna har skapat en byråkratisk mardröm, är företagen ense om. För Fårbo Mekaniska med 55 anställda är kostnaderna skyhöga. ”Jag måste ha hjälp, så vi anlitar konsulter motsvarande två heltidsanställda för att klara av alla GDPR-kraven”, säger vd:n Mikael Vetterskog.

Jens Eriksson, vd på vårdföretaget Aleris, och Mikael Vetterskog, vd på Fårbo Mekaniska.
Jens Eriksson, vd på vårdföretaget Aleris, och Mikael Vetterskog, vd på Fårbo Mekaniska. Foto: Kerstin Carlsson, Jessica Gow/TT Pressbild

Fram till 2030 ska regelbördan för medelstora företag (SME) lättas med 35 procent, menar EU-kommissionen. Bland annat kan GDPR ändras för att minska dokumentationskrav. Problemet är att det är en balansakt eftersom regelverket även är en central del för integritetsskyddet för människor och konsumenter.

Oavsett, som GDPR funkar idag så drunknar företagen i byråkrati. Det framgick tydligt på ett seminarium som Svenskt Näringsliv arrangerade i Näringslivets Hus i Stockholm. Flera företag i olika branscher berättade hur det är att leva med GDPR-kraven på riktigt i sina verksamheter, vilket de menade borde vara ett viktigt inspel till regeringen inför kommande EU-förhandlingar om det digitala förenklingspaketet.

”Jag måste ha hjälp, så vi anlitar konsulter motsvarande två heltidsanställda för att klara av alla GDPR-kraven.”

Fårbo Mekaniska med 55 anställda där Mikael Vetterskog är vd ligger långt fram när det gäller att implementera AI i verksamheten, som handlar om tung tillverkningsindustri med bergborrar och skärande bearbetning av produkter. ”Lean”, innovation och effektivitet är ledord i organisationen och på verkstadsgolvet.

Men att uppfylla alla GDPR-regler är minst sagt betungande.

– Det tar tid och kostar pengar och vi har ingen bolagsjurist, så mycket faller på vd:n, det vill säga mig. Jag måste ha hjälp, så vi anlitar konsulter motsvarande två heltidsanställda för att klara av alla GDPR-kraven, säger han.

Det pratas mycket om att behålla produktion i Sverige, men då gäller det också att det går att konkurrera på den internationella marknaden. GDPR-kraven gör det svårt för ett lite mindre företag, påpekar han.

– Självklart ska man följa lagstiftningen och jag ser nyttan med ett dataskydd. Men vi pratar om en omfattande administration, säger han.

”Gått lite väl långt”

Jens Eriksson, vd på vårdföretaget Aleris, har liknande erfarenheter. I vården är det många lagar och regler att hålla koll på och förhålla sig till när det gäller den data som måste hanteras och skyddas. Aleris har specialistvård inom bland annat psykiatri, ögonvård och rehabilitering. Ja, affärsverksamheterna är många och finns i hela landet.

Fårbo Mekaniska med 55 anställda där Mikael Vetterskog är vd ligger långt fram när det gäller att implementera AI.
Fårbo Mekaniska med 55 anställda där Mikael Vetterskog är vd ligger långt fram när det gäller att implementera AI. Foto: Fårbo Manufacturing

– Vi hanterar en mängd patientdata, som ofta är särskilt skyddsvärd. Vi träffar nästan två miljoner människor per år och generellt så är det bra med en GDPR-lagstiftning som skyddar hur uppgifter används och lagras. Det som har hänt är att det har gått lite väl långt, säger han.Han har också synpunkter på tillämpningen:

– Man har byggt upp helt egna team med jurister, där kraven tillämpas väldigt olika i olika regioner. I vissa fall är det förbud, i andra tillåtet. Ett annat problem är att vi inte får tillgång till våra egna data som vi rapporterar in, säger han.

Utvecklingsarbete halveras

När gemene man tänker på sjukvård kanske de tänker på läkare som opererar. Men en väldigt stor del av sjukvårdssystemet i dag är att samla in, hantera och analysera data och komma fram till en diagnos, påpekar Jens Eriksson.

– Det kanske är 20-30 procent av alla resurser i sjukvårdssystemet som går till det. Drygt 120 miljarder av resurserna går till databearbetning idag. Och som samhället utvecklas i Sverige och Europa med demografin där allt fler blir äldre så kommer det att krävas mer sjukvård framöver, säger han.

Jens Eriksson menar att sjukvården måste bli mer effektiv för att färre i arbetsför ålder ska kunna klara av att ta hand om den växande andelen äldre. Det förutsätter innovation och att data kan användas för att lösa problem, inte bara att den ska dokumenteras och gömmas undan, menar han.

– GDPR stoppar ett stort antal av möjliga åtgärder. Regelverket blir innovationshämmande och en bromskloss för konkurrenskraften, säger han.

Jens Eriksson beskriver hur regelverket påverkar verksamheten från smått till stort. Många uppgifter behöver hanteras i ”onödan” och andra uppgifter som kan göra skillnad behöver raderas, trots att patienten själv ger sitt samtycke.

– Vi räknar med att vårt utvecklingsarbete ungefär halveras. Det här är verkligen problematiskt, ett gigantiskt problem, säger han.

”Vi skulle kunna krama ut 20 procent mer vård ur samma sjukvårdssystem.”

Med en mer rimlig GDPR-lagstiftning ser Jens Eriksson stor potential redan i dag. Till exempel bör patienter som väljer att dela med sig av sin statistik få göra det.

– Vi skulle kunna krama ut 20 procent mer vård ur samma sjukvårdssystem. Vi är inte emot att uppgifter skyddas, vi vill ha ett dataskydd som är säkert. Men i dag har det gått till överdrift. Vi behöver bli mer träffsäkra och leva upp till krav som faktiskt ger oss säkerhet. Inte administrera för administrerandets skull, säger han.

– Precis, säger Mikael Vetterskog.

– Våra medarbetare och kunder behöver ju kunna lita på oss, så vi är inte emot dataskydd. Men det måste vara relevanta krav. Och det ska vara görbart för oss som är ett företag med små resurser.

Mikael Vetterskog berättar att kunder hela tiden vill ha bättre och billigare produkter och nu ställer han själv krav på politiken.

– Vi vill ha bättre lagar som skyddar bättre, men som är enklare att leva upp till, säger han.

Lätt att fastna i dokumentationskraven

Anna-Karin Strömqvist är Group Data Protection Officer på Nordic Leisure Travel Group, som är ett tjänsteföretag med flera bolag. De arrangerar bland annat paketresor med utflykter i andra länder, vilket gör GDPR-situationen än mer prekär.

– Jag kämpar med att få mina kollegor att hålla fokus på vad som är viktigt. Vi är beroende av personuppgifter i hela vår verksamhet. Om vi inte kan flytta uppgifter över världen så blir det inga resor. Det som jag kämpar mest med i min vardag är faktiskt att hålla ögonen på vad som är viktigt med GDPR, säger hon.– GDPR är på riktigt, det är viktigt för att upprätthålla kundernas förtroende, de anställdas förtroende och våra partners förtroende. Så det är ingenting vi tar lätt på, säger hon.

Jens Eriksson, vd på vårdföretaget Aleris.
Jens Eriksson, vd på vårdföretaget Aleris. Foto: Pressbild

Men det är oerhört lätt att fastna i dokumentationskraven och en massa frågor, vilket gör att man lägger enorma resurser på att sitta och prata om detaljer, i stället för på den verkliga utmaningen.

– Det som oroar mig är rekommendationskraven som finns. Vi sitter och beskriver hur boknings-ID:n förflyttar sig mellan olika ställen och dokumenterar allt, säger hon.

”Ingenting kan slå ut hela företag som GDPR”

Den största utmaningen är att arbeta med små aktörer i andra delar av världen, till exempel för att arrangera utflykter, berättar hon.

– För att vi ska kunna säga till en utflyktsleverantör att våra kunder ska åka med på en båt så behöver vi ha samtal med alla personerna och ha standardkontrakt på plats. Då kan nog alla förstå hur mycket resurser som krävs för att vi ska kunna hjälpa våra kunder att åka med på båtutflykt, en picknick eller vad det nu är. Allt ska dokumenteras, säger hon.

– Vi lägger mer tid på det här än på något annat, säger hon.

Företagen efterfrågar någon form av certifiering eller märkning för de företag som är seriösa i informationshanteringen, att de följer en viss standard. Det skulle kunna minska den ständiga floden av löpande dokumentation och fungera som en stämpel på att företaget är att lita på, resonerade de.

Att något måste hända var ett tydligt budskap från företagen på seminariet. De håller tummarna för att diskussionerna som pågår om det digitala förenklingspaketet slår ut väl. Annars är svenska företag illa ute, menar Jens Eriksson.

– Ingenting kan slå ut hela företag som GDPR, säger han.Mikael Kullberg som är statssekreterare på Justitiedepartementet hos Gunnar Strömmer välkomnar företagarnas inspel.

– För att främja konkurrenskraft så är förenklingsarbetet en helt central del för regeringen. Men det saknas politisk enighet i de här frågorna, förenkling av hållbarhetsrapportering är ett exempel, säger han.

Men att minska regelkrångel för företagen på den digitala arenan, inklusive GDPR, är viktigt, menar han.

När EU-kommissionen nu presenterar sin digitala omnibus på området inrymmer den flera ändringar just kopplat till GDPR, och det är något som regeringen följer noga och analyserar, menar han.

– Europeiska företag behöver en enkel och förutsebar ordning kring GDPR just för att kunna konkurrera med företag som verkar utanför. Annars blir det en rätt skev situation, säger han.

Men företagen vill att regeringen driver på hårdare för GDPR-förenklingar eftersom byråkratin i dag går ut över innovation, utveckling och konkurrenskraft.

– Jag vill framhålla att för regeringen i det här arbetet så är det viktigt att få till verkliga regelförenklingar samtidigt som man får ett hållbart skydd för personuppgifterna. Därför är det så viktigt med företagens synpunkter och erfarenheter här idag, säger han.

DataanvändningDataskydd
Skriven avDaniel Mellwing

Du kanske också vill läsa