GDPR i fakturering - maskering och avidentifiering av personuppgifter

Publicerad:
Av: Redaktionen

Att fakturera innebär nästan alltid behandling av personuppgifter. Den här guiden sammanfattar vad som gäller enligt GDPR i en faktureringsprocess och hur du arbetar praktiskt med insamling, lagring, radering eller avidentifiering, registerutdrag och personuppgiftsbiträdesavtal. Målet är att du ska kunna fakturera korrekt, effektivt och lagligt utan onödiga integritetsrisker.

Vad räknas som personuppgift i fakturering

Personuppgifter är all information som direkt eller indirekt kan knytas till en levande person. I fakturering förekommer bland annat:

  • Namn, adress, e-post, telefonnummer

  • Personnummer eller samordningsnummer

  • Kontaktpersoner hos företag och enskild firma

  • Uppgifter i fritextfält, ordernoteringar och bilagor

Utgå från dataminimering. Spara bara det som behövs för ett tydligt syfte och undvik onödiga uppgifter i fritext.

Rättslig grund och information till individen

I fakturering stöds behandling ofta på avtal eller rättslig förpliktelse. Informera alltid den registrerade om:

  • Vem som är personuppgiftsansvarig

  • Ändamål med behandlingen och vilka uppgifter som hanteras

  • Rättslig grund samt hur länge uppgifterna sparas

  • Om uppgifterna delas med andra aktörer

  • Hur rättigheter utövas, till exempel rätt till registerutdrag

Samtycke är sällan rätt grund för fakturering. Använd det bara när det är frivilligt och specifikt, till exempel för nyhetsbrev.

Insamling - gör rätt från början

  • Begränsa vilka fält som måste fyllas i vid kundregistrering

  • Använd separata fält för personuppgifter och undvik känslig info i fritext

  • Sätt valideringsregler som hindrar personuppgifter i kommentarer

  • Logga källa och tidpunkt för insamling

Transparens och registerutdrag

Den registrerade har rätt att få veta vilka uppgifter som finns och få en kopia. Praktiskt genomförande:

  • Ta fram uppgifterna ur kund, leverantör och fakturaregister

  • Glöm inte bilagor, fritextfält och anteckningar

  • Bekräfta identiteten innan utlämning och dokumentera utlämnandet

  • Leverera säkert, till exempel via krypterad länk med tidsbegränsning

Lagring och bevarandetider

Spara inte personuppgifter längre än nödvändigt för ändamålet. Tänk på att bokföringslagens krav gäller för underlag som påverkar redovisningen. I Sverige innebär det normalt sju år från utgången av det kalenderår då räkenskapsåret avslutades. Dokumentera undantag och motiveringar.

Radera eller avidentifiera

När ändamålet är uppfyllt ska uppgifterna tas bort. Om juridiska krav hindrar radering av exempelvis en faktura kan du avidentifiera delar som inte behövs:

  • Ta bort eller maska kontaktpersonens namn och personnummer i kopior som inte är bokföringspliktiga

  • Ersätt personliga fält med neutrala värden när systemet kräver obligatoriska fält

  • Ta bort onödiga bilagor som råkar innehålla personuppgifter

Viktigt: avidentifiering ska vara oåterkallelig i den version som delas vidare eller används för andra ändamål än bokföring.

Export och lokala kopior

  • Begränsa vem som får exportera register

  • Kryptera filer och använd skyddade lagringsytor

  • Tillämpa tidsgränser och gallring för exporterade listor

  • Undvik att lagra personuppgifter i okontrollerade kalkylblad

Personuppgiftsbiträdesavtal

Delar du personuppgifter med leverantörer som behandlar uppgifterna åt dig krävs personuppgiftsbiträdesavtal. Säkerställ att avtalet reglerar:

  • Behandlingsändamål och kategorier av uppgifter

  • Säkerhetsåtgärder, incidentrapportering och underbiträden

  • Plats för lagring samt överföringar utanför EU

  • Radering eller återlämning av data efter avslutat uppdrag

Tekniska och organisatoriska kontroller

  • Rollbaserad åtkomst och principen minsta möjliga behörighet

  • Loggning av visningar, exporter och ändringar

  • Automatiska regler som varnar för personuppgifter i fritext

  • Versionsstyrda rutiner för radering och avidentifiering

Snabb checklista

  1. Definiera syfte och rättslig grund för varje uppgiftskategori

  2. Dokumentera vilken data som finns var och hur länge den sparas

  3. Sätt upp en process för registerutdrag och rättelse

  4. Aktivera loggning, åtkomstkontroller och exportpolicy

  5. Inför radering eller avidentifiering när ändamålet är uppnått

  6. Teckna och granska personuppgiftsbiträdesavtal

Hur vår tjänst hjälper dig

Vi automatiserar avidentifiering, maskning och pseudonymisering av personuppgifter i kundregister, fakturor, bilagor och fritext. Det gör att du kan dela underlag för support, analys och arkiv utan att exponera onödig identitet. Funktioner:

  • Regelstyrd borttagning av namn, personnummer och kontaktuppgifter

  • Pseudonymer som bevarar sammanhang internt utan att röja identitet externt

  • Loggning och rollstyrd åtkomst till eventuell kopplingsnyckel

  • Profiler som skiljer mellan bokföringspliktiga original och delningskopior

Vanliga frågor

Måste jag radera själva fakturan om kunden begär radering
Nej, inte om bokföringslagen kräver bevarande. Hantera då begäran genom att begränsa behandling, och använd avidentifierade delningskopior för andra ändamål än redovisning.

Får jag spara kontaktpersonens mobilnummer
Ja, om det behövs för affären och du har informerat om ändamålet. Spara inte fler uppgifter än nödvändigt och gallra när relationen upphör.

Hur undviker jag personuppgifter i fritext
Inför policy, lägg till fältvalidering och utbilda användare. Använd automatiserad skanning och maskning av fritext vid export och delning.

Avidentifiera Avidentifiera
Automatisera borttagning av känsliga uppgifter. © 2025 Avidentifiera |
Avidentifiera Avidentifiera Cookies
Vi använder cookies för att säkerställa webbplatsens funktionalitet. Du kan när som helst justera inställningar för analys och marknadsföring (avstängt som standard). Läs vår Cookiepolicy.