simplineers
Simplineers AB Metod för god efterlevnad
Version 1.7 — 2026
Simplineers metod — för god efterlevnad

Där IT möter juridik & verksamheten kan visa sitt ansvar.

IT & Information

System, dataflöden, leverantörer, säkerhetsåtgärder. Tekniken som möjliggör behandlingen och evidensen som styrker den.

Juridik & Regelefterlevnad

Rättslig grund, registrerades rättigheter, register, DPIA och dokumenterad ansvarsskyldighet enligt GDPR och anslutande regelverk.

God efterlevnad är inte två parallella spår — det är ett. Metoden binder samman styrning, process, information, risk och kontroll så att tekniska val och juridiska krav talar samma språk, dokumenteras i samma evidensstruktur och kan granskas mot samma mål.

En metod utvecklad av Simplineers AB
I.Beroendekedjan

Allt börjar i verksamhetsmålen — och slutar i lärandet.

Nivå 1 Verksamhetsmål

Strategi, uppdrag, kundlöfte och riskaptit som hela efterlevnadsarbetet ska tjäna.

Nivå 2 Kritiska tjänster och processer

De värdeskapande flödena där efterlevnad omsätts i praktik — och där brister får verklig konsekvens.

Nivå 3 Behandlingar, informationstillgångar och system

Vad som faktiskt sker med uppgifterna, var de bor och vilken teknik som bär dem.

Nivå 4 Leverantörer, flöden och beroenden

Tredjepartskedjor, biträden, överföringar — där ansvar måste avtalas och bevisas.

Nivå 5 Risker för individ, verksamhet, information och kontinuitet

Fyra perspektiv som måste analyseras enskilt men förstås tillsammans.

Nivå 6 Kontroller, åtgärder och ansvar

Tekniska och organisatoriska åtgärder, policyer, rutiner och tydligt utpekade roller.

Nivå 7 Evidens, uppföljning och förbättring

Det som gör efterlevnad demonstrerbar — och levande över tid.

Beroendekedjans sju nivåer med återkoppling Kedjan löper från verksamhetsmål överst, via tjänster, information, leverantörer, risker och kontroller, till evidens och förbättring nederst. Varje nivå vilar på den föregående, och lärandet på nivå sju återkopplar till målen på nivå ett. 1Verksamhetsmål2Kritiska tjänster & processer3Behandlingar, tillgångar & system4Leverantörer, flöden & beroenden5Risker (fyra perspektiv)6Kontroller, åtgärder & ansvar7Evidens, uppföljning & förbättring LÄRANDE ÅTERKOPPLAR
Beroendekedjan — varje nivå vilar på den föregående, och lärandet (nivå 7) återkopplar till målen (nivå 1).
II.Sju faser

Metoden i sju sammanlänkade steg.

De sju faserna som en levande cykel Faserna ett till sju följer på varandra från styrning till evidens och uppföljning, och uppföljningen återkopplar till styrningen så att efterlevnaden hålls levande över tid. 01Styrning02Processer03Information& data04ROPA &dataskydd05Risk &konsekvens06Kontroller07Evidens &uppföljning 07 → 01 · ÅTERVÄNDER TILL STYRNINGEN
De sju metodfaserna som en återkommande cykel — uppföljningen (07) återkopplar till styrningen (01).

Verksamhetskontext och styrning

Den punkt där allt övrigt får sin mening. Här fastställs vad organisationen vill uppnå, vilka tjänster som är kritiska, vilken kravbild och riskaptit som råder, samt vilka roller och ansvar som bär arbetet. Utan tydlig styrning blir efterlevnad en samling dokument — med den blir det en förmåga.

IT-perspektiv
  • Tjänstekatalog, kritikalitet
  • IT-styrmodell, COBIT-koppling
Juridiskt perspektiv
  • Roller: personuppgiftsansvarig, biträde, dataskyddsombud, funktionsansvarig
  • Mandat, riskaptit, regelefterlevnadsramverk

Process- och beroendekartläggning

Processerna är efterlevnadens stomme. Här identifieras processägare, ingående system, leverantörer, informationsflöden och kritiska aktiviteter. Det är verksamhetens ändamål och process som förklarar behandlingen — systemen visar hur behandlingen sker, och beroendena avgör var risken faktiskt sitter.

IT-perspektiv
  • Systemkartor, integrationer
  • Leverantörsregister, ICT-kedjor
Juridiskt perspektiv
  • Processen som ankare för behandlingen
  • Biträdesrelationer, gemensamt ansvar

Informations- och datakartläggning

Vilka informationstillgångar finns, vilka personuppgifter bär de, hur skyddsklassas de, var lagras de, hur överförs de och vad beror de av? Detta är den gemensamma grund där informationssäkerhetens taxonomi och dataskyddets begrepp måste mötas i samma struktur.

IT-perspektiv
  • Klassificering, dataflöden
  • Lagring, retention, kryptering
Juridiskt perspektiv
  • Personuppgiftstaxonomi, Art. 9-data
  • Sekretesskrav, exempelvis banksekretess där relevant

GDPR-register och dataskyddsanalys

Här formaliseras behandlingen: ROPA-poster med ändamål, rättslig grund, registrerade kategorier, personuppgifter, mottagare, biträden, lagringstider och informationskrav. DPIA-screening bedömer och dokumenterar om behandlingen sannolikt leder till hög risk och därmed kräver en konsekvensbedömning. Registret är inte ett efterhandsdokument — det är en central evidensbärare för ansvarsskyldighet och en levande karta över hur behandlingen styrs, riskbedöms och följs upp.

Dataskyddsanalysen omfattar även hur organisationen praktiskt hanterar registrerades rättigheter (information, registerutdrag, rättelse, radering, begränsning, dataportabilitet, invändning, automatiserade beslut), personuppgiftsincidenter — med beredskap att bedöma och vid behov anmäla till IMY utan onödigt dröjsmål och om möjligt inom 72 timmar från vetskap — samt gallring och förändringar i behandlingar över tid.

Mellan dataskyddsanalysen och riskbedömningen genomförs fördjupade analyser där det behövs: DPIA, LIA, TIA, leverantörsbedömning, kontinuitetsanalys eller AI-riskbedömning. Det är dessa fördjupningar som syns som ett eget steg i arbetsflödet.

IT-perspektiv
  • Systemstöd för ROPA (t.ex. GRC)
  • Spårbarhet behandling → system
  • Incidentdetektion och loggning
Juridiskt perspektiv
  • Art. 5, 6, 9, 10, 12–22, 24, 28, 30, 33–36, 44–49
  • DPIA-screening, motiveringar
  • Rättighetsprocesser, incidenthantering

Risk- och konsekvensbedömningar

Fyra perspektiv, en metodlogik: dataskydd (risk för individen), informationssäkerhet (risk för informationen), leverantör (risk i kedjan) och kontinuitet (risk för tjänsten). Bedömningarna görs separat — men sammanlänkas så att samma behandling kan bedömas helhetligt utan att perspektiven kolliderar.

IT-perspektiv
  • Hotmodellering, sårbarhetshantering
  • BIA, RTO/RPO, kontinuitetskrav och återställningsstrategier
  • För finansiella företag: DORA-relaterad ICT-risk
Juridiskt perspektiv
  • DPIA enligt Art. 35
  • Förhandssamråd Art. 36, LIA, TIA

Kontroller, åtgärder och roadmap

Riskerna översätts till handling. Tekniska och organisatoriska säkerhetsåtgärder, policyer, rutiner, biträdesavtal, kontinuitetslösningar och en prioriterad åtgärdsplan med ägare och datum. Det är här juridiken slutar vara abstrakt och blir konkret arbete i system, avtal och beteenden.

Resultatet samlas i en krav- och kontrollmatris där varje identifierat krav, riskområde och kontroll kopplas till ansvarig ägare, berörd process, berört system, evidenskrav och uppföljningsfrekvens. Matrisen är metodens operativa hjärta — den länkar regelverk, risk och praktik i en enda spårbar struktur.

IT-perspektiv
  • TOMs, säkerhetsarkitektur
  • SDLC-integration, privacy by design
Juridiskt perspektiv
  • Biträdes-/SCC-avtal, policyramverk
  • Art. 25, 32 — efterlevnad i praktiken

Införande, evidens och uppföljning

Implementering med tydligt ansvar, test, utbildning och kommunikation. Mätetal och intern kontroll håller arbetet levande, årlig översyn fångar förändring i omvärld och verksamhet, och en strukturerad förändringshantering ser till att efterlevnaden följer med när allt annat utvecklas.

Centrala förändringsutlösare som ska aktivera översyn: nya system, nya leverantörer, nya ändamål, nya datakategorier, nya marknader eller geografier, väsentliga incidenter samt förändringar i regelverk eller tillsynspraxis.

IT-perspektiv
  • KPI/KRI, loggning, kontroller
  • Change management, releasekontroll
Juridiskt perspektiv
  • Ansvarsskyldighet, intern kontroll
  • Rättighetshantering, incidentprocess
III.Arbetsflödet

I praktiken: nio rörelser i samma riktning.

Faserna är inte fack — de är rörelser. Varje steg möjliggör det nästa, och varje uppföljning återvänder till styrningen.

Arbetsflödets nio rörelser är en operativ detaljering av de sju metodfaserna. ROPA och fördjupade analyser visas separat eftersom de ofta kräver egna beslut, underlag och evidensspår i praktiskt genomförande.

01
Styrning
02
Processer
03
Information
Data & System
04
ROPA
05
Fördjupade
analyser
06
Risker
07
Kontroller
08
Införande
09
Uppföljning
Konvergensdiagram IT och information från vänster och juridik och regelefterlevnad från höger möts i en gemensam punkt — en demonstrerbar och levande efterlevnad. IT & INFORMATION JURIDIK & REGELEFTERLEVNAD Efterlevnad DEMONSTRERBAR & LEVANDE
IV.Bärande principer

Fyra överenskommelser mellan disciplinerna.

01

En sanning, två språk.

Samma behandling beskrivs i IT:s och juridikens termer, men i en gemensam datamodell. Det är samma sak — bara två sätt att läsa den.

02

Processen ger sammanhang åt behandlingen.

ROPA förankras i verksamhetens processer, men registerobjektet är behandlingsaktiviteten. Systemen beskriver hur behandlingen sker, processen förklarar varför den sker och vilket verksamhetsansvar den tillhör.

03

Risk i fyra perspektiv, beslut i ett.

Dataskydd, informationssäkerhet, leverantör och kontinuitet bedöms separat — men sammanvägs i samma åtgärdsbeslut.

04

Evidens gör efterlevnad demonstrerbar.

Det som inte kan visas är svårt att försvara vid tillsyn, intern kontroll eller revision. Metoden producerar därför löpande den dokumentation, de beslut och de kontrollspår som visar hur organisationen arbetar med ansvar, risk och åtgärder.

V.Regelverk

Lagar och ramverk vi arbetar mot.

Metoden står inte på egen botten. Den är konstruerad för att leverera bevis och struktur som möter de regelverk som styr verksamhet, information och teknik — och de standarder och ramverk som översätter kraven till praktik.

Notera: Listan är ett referensbibliotek och innebär inte att samtliga regelverk är tillämpliga i varje uppdrag. Vilka krav som faktiskt gäller fastställs utifrån organisationens sektor, roll, tjänster, system, geografiska närvaro och behandlingstyper.

Senast faktagranskat: 2026-06-02. Tillämplighet, ikraftträdande och övergångsregler ska alltid verifieras per organisation, sektor, roll, tjänst, system, geografisk närvaro och behandlingstyp. Akronymer markerade med är klickbara länkar till primärkälla (EUR-Lex, Riksdagen, Finansinspektionen, EBA respektive ISO) och öppnas i ny flik.

AEU-rättsakter

  • GDPRAllmänna dataskyddsförordningen (EU) 2016/679
  • DORADigital Operational Resilience Act (EU) 2022/2554
  • NIS2Direktivet om nät- och informationssäkerhet (EU) 2022/2555
  • AI ActFörordning om artificiell intelligens (EU) 2024/1689 — fasvis tillämplig med olika datum för förbud, GPAI, transparens och högriskregler
  • CRACyber Resilience Act (EU) 2024/2847 — tillämpas i sin helhet från 11 dec 2027; tillverkares rapporteringskrav från 11 sep 2026
  • CERKritiska entiteters motståndskraft Direktiv (EU) 2022/2557
  • Data ActTillgång till och användning av data (EU) 2023/2854
  • DGAData Governance Act (EU) 2022/868
  • ePrivacyDirektivet om integritet och elektronisk kommunikation 2002/58/EG
  • AMLRPenningtvättsförordningen (EU) 2024/1624 — tillämpas direkt från 10 juli 2027
  • AMLD6Penningtvättsdirektivet (EU) 2024/1640 — ska vara införlivat senast 10 juli 2027
  • PSD2Betaltjänstdirektivet (EU) 2015/2366
  • PSD3 / PSRReviderat betaltjänstpaket Under införande
  • MiFID IIMarknader för finansiella instrument Direktiv 2014/65/EU
  • WBDVisselblåsardirektivet (EU) 2019/1937

BSvensk rätt, föreskrifter & tillsynsvägledning

  • DSLDataskyddslagen (2018:218)
  • CSLCybersäkerhetslagen (2025:1506) — genomför NIS2, i kraft 15 januari 2026; myndighetsföreskrifter preciserar krav och tillsyn under 2026; för DORA-omfattade aktörer gäller inte 2 kap. 3–10 §§
  • PTLPenningtvättslagen (2017:630)
  • LBFLag om bank- och finansieringsrörelse — banksekretess kap. 1, 10 §
  • SkLSäkerhetsskyddslagen (2018:585)
  • LEKLag om elektronisk kommunikation (2022:482)
  • VBLVisselblåsarlagen (2021:890)
  • FFFS 2014:1Styrning, riskhantering och kontroll i kreditinstitut — ändrad bl.a. genom FFFS 2024:28 med anledning av DORA
  • FFFS 2024:21Insättningssystem — ersätter FFFS 2014:5; IT- och informationssäkerhetskrav hanteras nu huvudsakligen via DORA
  • FFFS 2014:5Informationssäkerhet, it-verksamhet och insättningssystem Upphävd 17 jan 2025
  • EBA GLICT and security risk management — begränsat/justerat till följd av DORA; tillämplighet verifieras per aktör och tjänst
  • EBA OL / TPROutsourcing och tredjepartsrisk — tillämpning verifieras mot DORA och aktuell EBA-vägledning per aktör, tjänst och ICT-/non-ICT-scope

CISO-standarder

  • 27001Ledningssystem för informationssäkerhet (ISMS)
  • 27017Molnsäkerhet — vägledning för molnrelaterade säkerhetskontroller baserad på 27002
  • 27701:2025Integritetsledningssystem (PIMS) — fristående standard sedan okt 2025
  • 22301Verksamhetskontinuitet (BCMS)
  • 37301Ledningssystem för regelefterlevnad (CMS)
  • 42001Ledningssystem för AI (AIMS)
  • 29100Privacy framework — vägledning
  • 31000Riskhantering — principer och riktlinjer

Stödstandarder som ISO/IEC 27002, 27005, 27018:2025, 27035 och 27036 används som kompletterande vägledning vid införande, riskhantering, incidenthantering, moln- och personuppgiftsskydd samt leverantörsstyrning.

DRamverk & god praxis

  • COBIT 2019Styrning och ledning av IT
  • NIST CSF 2.0Cybersecurity Framework
  • NIST PFPrivacy Framework
  • COSO ERMFöretagsövergripande riskhantering
  • ENISAHot- och riktlinjebibliotek

Bevakning — kommande ändringar (ännu inte beslutade): Kommissionen lade den 19 november 2025 fram ett Digital Omnibus-paket i två delar. Datadelen föreslår att DGA upphävs och dess bestämmelser konsolideras i Data Act, jämte riktade ändringar i GDPR, ePrivacy, NIS2, DORA och Data Act — den delen förhandlas alltjämt i Europaparlamentet och rådet. AI-delen nådde den 7 maj 2026 en preliminär överenskommelse om att skjuta upp AI Act:s högriskregler (fristående system till 2 december 2027, inbyggda till 2 augusti 2028) och om förbud mot s.k. nudifierings-appar från 2 december 2026, men är ännu inte formellt antagen. Till dess att rättsakterna antas gäller regelverken ovan oförändrade.

VI.Begreppsnyckel

Förkortningar som används i metoden.

ROPA
Register över personuppgiftsbehandlingar enligt GDPR artikel 30.
DPIA
Konsekvensbedömning avseende dataskydd enligt artikel 35.
LIA
Intresseavvägning vid berättigat intresse som rättslig grund.
TIA
Bedömning vid överföring av personuppgifter till tredjeland.
PUA / Biträde
Personuppgiftsansvarig respektive personuppgiftsbiträde enligt GDPR.
DPO
Dataskyddsombud (Data Protection Officer).
TOMs
Tekniska och organisatoriska säkerhetsåtgärder.
SCC
Standard Contractual Clauses — EU-kommissionens standardklausuler för överföring till tredjeland.
BIA
Business Impact Analysis — verksamhetskonsekvensanalys för kontinuitet.
RTO / RPO
Recovery Time / Point Objective — mål för återställningstid respektive acceptabel dataförlust.
SDLC
Software Development Life Cycle — utvecklingslivscykel där säkerhet och dataskydd byggs in.
ICT
Information and Communication Technology — informations- och kommunikationsteknik.
GRC
Governance, Risk & Compliance — verktygsstöd för styrning, risk och regelefterlevnad.
KPI / KRI
Key Performance / Risk Indicator — mätetal för prestanda respektive risk.
PIMS
Privacy Information Management System (ISO 27701).
ISMS / BCMS / AIMS / CMS
Ledningssystem för informationssäkerhet, kontinuitet, AI respektive regelefterlevnad.
DSL / CSL / PTL / VBL
Dataskyddslagen, cybersäkerhetslagen, penningtvättslagen och visselblåsarlagen.
LBF / SkL / LEK
Lag om bank- och finansieringsrörelse, säkerhetsskyddslagen och lag om elektronisk kommunikation.
FFFS
Finansinspektionens författningssamling — innehåller föreskrifter och allmänna råd. Föreskrifter är bindande regler, medan allmänna råd är vägledning om hur bindande bestämmelser kan följas.
EBA GL / EBA OL / TPR
European Banking Authority Guidelines on ICT and security risk management respektive on outsourcing arrangements (TPR = third-party risk).