Bevaka Upphandlingar
← Alla artiklar
17 april 2026

GDPR och personuppgiftsbiträdesavtal i offentlig upphandling

Guide till GDPR-krav i svensk offentlig upphandling. Lär dig om personuppgiftsbiträdesavtal (PUB), tredjelandsöverföring, Schrems II och hur du som leverantör möter dataskyddskraven i anbud.

Dataskydd har blivit en av de mest genomgripande kraven i offentlig upphandling. Sedan GDPR (EU 2016/679) trädde i kraft 2018 måste svenska myndigheter säkerställa att varje leverantör som hanterar personuppgifter uppfyller förordningens krav. Personuppgiftsbiträdesavtalet (PUB) är det centrala instrumentet – men bara ett av många kontroller. Denna artikel förklarar regelverket och hur du som leverantör positionerar dig.

Rättsligt ramverk

GDPR

GDPR (EU 2016/679) är direkt tillämplig i Sverige sedan 25 maj 2018. Grundläggande roller:

  • Personuppgiftsansvarig – myndigheten som bestämmer ändamål och medel
  • Personuppgiftsbiträde – leverantören som behandlar på myndighetens uppdrag
  • Underbiträden – leverantörens egna underleverantörer

Svensk kompletterande lagstiftning

Tillsyn

IMY (Integritetsskyddsmyndigheten) är svensk tillsynsmyndighet. Sanktionsavgifter enligt artikel 83 GDPR kan uppgå till 20 miljoner euro eller 4 % av global omsättning.

Personuppgiftsbiträdesavtal (PUB)

När krävs PUB?

Enligt artikel 28.3 GDPR krävs PUB när leverantören behandlar personuppgifter för myndighetens räkning. Typiska scenarier:

  • IT-drift och hosting
  • Molntjänster (SaaS, IaaS, PaaS)
  • Supporttjänster där data exponeras
  • Analys och statistik
  • Bemanningstjänster som hanterar personaldata
  • Revision och konsulttjänster

Obligatoriska inslag i PUB

Enligt artikel 28.3 GDPR ska PUB minst innehålla:

  1. Föremål och varaktighet – vilka uppgifter, hur länge
  2. Behandlingens art och ändamål – syftet
  3. Typ av personuppgifter och kategorier av registrerade
  4. Rättigheter och skyldigheter för personuppgiftsansvarig
  5. Biträdet ska följa instruktioner från den ansvarige
  6. Sekretessförpliktelser för biträdets personal
  7. Säkerhetsåtgärder enligt artikel 32 GDPR
  8. Villkor för underbiträden (artikel 28.2 och 28.4)
  9. Bistånd till den ansvarige vid förfrågningar från registrerade
  10. Bistånd vid incidenthantering och konsekvensbedömning
  11. Återlämnande eller radering av data vid kontraktets slut
  12. Revisionsrätt för den ansvarige

Standardmallar

SKR och Upphandlingsmyndigheten publicerar standardmallar för PUB som används av stora delar av offentlig sektor. EU-kommissionens standardklausuler (2021/915) kan också användas.

Tredjelandsöverföring

Schrems II och dess följder

I Schrems II-domen (C-311/18) ogiltigförklarade EU-domstolen Privacy Shield och skärpte kraven på överföringar till USA. Det innebar:

  • Standardavtalsklausuler (SCC) är fortsatt tillåtna, men kräver skyddsbedömning
  • Transfer Impact Assessment (TIA) – skriftlig analys av tredje landets lagstiftning
  • Extra skyddsåtgärder kan behövas (t.ex. kryptering)

EU-U.S. Data Privacy Framework

Kommissionens beslut 2023/1795 (Data Privacy Framework) ger USA-anslutna företag ett skydd motsvarande adekvat skyddsnivå. Det förenklar vissa överföringar men svenska myndigheter är fortsatt försiktiga.

Vanliga krav från svenska myndigheter

  • Data in rest och in transit inom EU/EES
  • Ingen åtkomst från tredje land utan godkännande
  • Ingen användning av amerikanska molntjänster i vissa säkerhetsklassade upphandlingar
  • Krypteringsnycklar under europeisk kontroll (BYOK, HYOK)
  • TIA-dokumentation för varje tredjelandsflöde

Säkerhetsåtgärder enligt artikel 32

Artikel 32 GDPR kräver att både personuppgiftsansvarig och biträde vidtar “lämpliga tekniska och organisatoriska åtgärder”. Standard i offentlig sektor:

  • ISO/IEC 27001 – ledningssystem för informationssäkerhet
  • ISO/IEC 27701 – personlig integritet
  • ISO/IEC 27017 och 27018 – moln och personuppgifter i moln
  • CIS Controls v8 eller motsvarande
  • MSB:s metodstöd för informationssäkerhet
  • Kryptering, flerfaktorautentisering, behörighetsstyrning
  • Logghantering och övervakning
  • Regelbundna säkerhetstester och penetrationstest

Incidenthantering

72-timmarsregeln

Enligt artikel 33 GDPR ska personuppgiftsincident anmälas till IMY inom 72 timmar. Personuppgiftsbiträdet ska utan onödigt dröjsmål informera personuppgiftsansvarig – i praktiken inom 24 timmar.

Vad räknas som incident

  • Dataläckage (intrång, förlorat medium, felaktig mailadressat)
  • Obehörig åtkomst
  • Oavsiktlig förstörelse eller ändring
  • Otillgänglighet (ransomware, driftavbrott med personuppgiftsrisk)

Incidentrapportering i kontraktet

PUB ska precisera:

  • Tid och kanal för anmälan
  • Vad som ska rapporteras (typ av incident, antal påverkade, åtgärder)
  • Leverantörens bistånd vid myndighetens utredning och anmälan till IMY

DPIA – konsekvensbedömning

Enligt artikel 35 GDPR krävs konsekvensbedömning (DPIA) vid hög risk för registrerades rättigheter. Typiska fall:

  • Storskalig behandling av känsliga uppgifter (vård, sociala uppgifter)
  • Systematisk övervakning (kamerabevakning, loggning)
  • Profilering och automatiserade beslut
  • Nya tekniker (AI, biometri)

Leverantören ska i PUB åta sig att bistå den ansvarige med DPIA.

Dataskydd i AI-upphandling

EU:s AI-förordning (AI Act) samspelar med GDPR. För högrisk-AI krävs både DPIA enligt GDPR och FRIA (konsekvensbedömning för grundläggande rättigheter) enligt AI Act. Läs vår artikel om AI-upphandling.

Vanliga krav i upphandlingar

Obligatoriska krav (skall-krav)

  • PUB signerat innan avtalsstart (ofta enligt myndighetens mall)
  • ISO 27001 eller likvärdig certifiering
  • Lagring inom EU/EES
  • Dokumenterade säkerhetsåtgärder och incidentprocesser
  • Möjlighet till myndighetsrevision
  • Personal med sekretessförpliktelser

Utvärderingskriterier

  • Certifieringar utöver obligatoriska
  • Avancerad kryptering (end-to-end, HYOK)
  • Separerade miljöer per kund
  • Transparens om dataflöden (data flow diagrams)
  • Europeisk ägarstruktur

Offentlighetsprincipen och GDPR

En svensk komplikation är samspelet mellan offentlighetsprincipen enligt tryckfrihetsförordningen och GDPR. Handlingar som inkommit till myndigheten blir normalt allmänna handlingar – inklusive information som leverantören lämnat in. GDPR ger inte generellt undantag från offentlighetsprincipen, men vissa sekretessbestämmelser kan tillämpas enligt OSL.

Leverantörer bör:

  • Märka personuppgifter och företagshemligheter som sekretessbelagd
  • Begära sekretessprövning enligt 31 kap. 16 § OSL
  • Minimera vilka personuppgifter som delas i anbudshandlingar

Så förbereder du ditt företag

1. Bygg ledningssystem

ISO 27001, dokumenterade processer och register över behandlingsaktiviteter (artikel 30 GDPR).

2. Ha PUB-mall klar

Förbered en egen PUB-mall baserad på EU-kommissionens standardklausuler. I svenska upphandlingar används dock ofta köparens mall – var beredd på båda.

3. Kartlägg dataflöden

Rita data flow diagrams över var personuppgifter lagras, processas och överförs. Håll dokumentationen uppdaterad.

4. TIA-bibliotek

Om din verksamhet har tredjelandsflöden (t.ex. global support): ha färdiga TIA-dokument redo per land.

5. Utbilda personalen

Alla med tillgång till kunddata ska genomgå dataskyddsutbildning – ofta ett krav i anbud.

6. Utse dataskyddsombud (DSO)

För myndighetsnära verksamhet är DSO obligatoriskt enligt artikel 37 GDPR. Många kunder kräver namngivet DSO även hos leverantören.

Vanliga fallgropar

  • Standardmallar utan anpassning – myndigheten vill se att PUB reflekterar det specifika uppdraget
  • Underbiträden utan godkännande – kan utgöra kontraktsbrott
  • Felaktig tredjelandshantering – Microsoft 365 och AWS kräver TIA även med EU-regioner
  • Otydlig incidentprocess – 72-timmarskravet missas ofta
  • Generiska säkerhetsbeskrivningar – kopierad ISO-text ger inte förtroende

Sammanfattning

GDPR-kraven i offentlig upphandling kommer att fördjupas – inte bara i vård och socialtjänst utan i alla branscher där myndigheter hanterar personuppgifter. Leverantörer som investerar i ISO 27001, dokumenterade processer och europeisk infrastruktur har ett strukturellt försprång. Kombinera det med vår guide om cybersäkerhet och NIS2 i upphandling och AI-upphandling för helhetsbilden.

Källor och vidare läsning

Läs också

Artikel

AI-upphandling i svensk offentlig sektor

Guide till upphandling av AI-lösningar i Sverige. Lär dig om EU:s AI-förordning, riskklassificering, krav som myndigheter ställer och hur du som leverantör lämnar ett konkurrenskraftigt AI-anbud.

apr. 2026
Artikel

Cybersäkerhet och NIS2-krav i IT-upphandlingar

Så påverkar NIS2-direktivet och cybersäkerhetslagen offentliga IT-upphandlingar i Sverige. Guide till cybersäkerhetskrav, leverantörsansvar och hur du som leverantör möter kraven.

apr. 2026
Artikel

IT-upphandling i Sverige – guide för leverantörer

Allt om IT-upphandling i offentlig sektor. Lär dig hur svenska myndigheter upphandlar IT, vilka CPV-koder som används och hur du positionerar ditt IT-företag för att vinna anbud.

nov. 2025