Referenskatalog · v. 1.6 Kontrollerat 2026-05-25 13 områden · 158 processer · 5 klassificeringar

§ 00 — Bolagsstyrning · Referenskatalog

Verksamhetsprocesser i ett aktiebolag.

En strukturerad referenskatalog över processer som ofta förekommer i svenska aktiebolag — med klassificering av vilka som normalt är allmänna, vilka som är typiska i aktiva rörelsedrivande bolag, och vilka som först blir aktuella under vissa villkor, viss bransch eller viss mognad. Tänkt som utgångspunkt för processkartläggning, ROPA-arbete eller internkontroll. Inte juridisk rådgivning.

Processområden

158

Processer

Klassificeringar

§ 01 — Klassificeringar

Inte alla processer gäller alla bolag.

Generella listor över verksamhetsprocesser blandar ofta tre saker: vad som finns i nästan alla aktiebolag, vad som är typiskt i aktiva rörelsedrivande bolag men inte i vilande eller specialiserade, och vad som bara blir aktuellt under vissa villkor. Den här katalogen särskiljer dem genom fem klassificeringar.

Klass 01

Allmän

Process som normalt finns i nästan alla aktiva aktiebolag, eller som följer av grundläggande associationsrättsliga, redovisningsmässiga eller administrativa krav.

Klass 02

Typisk

Vanlig i aktiva rörelsedrivande bolag, men inte i alla aktiebolag — t.ex. inte i vilande bolag, rena holdingbolag eller bolag utan extern marknad.

Klass 03

Villkorad

Bara aktuell om vissa villkor är uppfyllda — t.ex. anställda, momsregistrering, viss avtalstyp eller specifik behandling av personuppgifter.

Klass 04

Bransch /
storlek

Processens omfattning eller existens styrs i hög grad av bransch, riskprofil eller bolagets storlek.

Klass 05

Mognadsberoende

Frivillig eller mognadsdriven process — inte obligatorisk, men ofta värdefull att etablera när verksamheten växer.

Processer som typiskt innebär behandling av personuppgifter — och därmed är relevanta för registret över behandlingar enligt artikel 30 — märks med en liten taggsymbol efter processnamnet. PD-markerade rader är inte en fullständig lista över alla processer där personuppgifter kan förekomma, utan markerar processer som typiskt bör beaktas särskilt vid ROPA-kartläggning.

Så använder du katalogen

Börja med klass 01 och 02 för en grundläggande processkarta. Det är processer som normalt finns i nästan alla aktiva aktiebolag respektive är typiska i aktivt rörelsedrivande bolag.
Lägg därefter till klass 03 när villkor är uppfyllda — exempelvis anställda, momsregistrering, kundavtal, behandling av personuppgifter eller viss teknik.
Använd klass 04 och 05 för att täcka in bransch, storlek, riskprofil och mognadsnivå. Klass 05 är frivilliga men ofta värdefulla processer som ofta etableras när verksamheten växer.
Prioritera PD-markerade processer vid ROPA- och DPIA-screening. De är typiska kandidater för registrering enligt artikel 30 och för bedömning av behov av konsekvensbedömning enligt artikel 35.

§ 02 — Översikt

Tretton processområden i ett aktiebolag.

Strukturen utgår från områden snarare än avdelningar — så att processkartläggningen fungerar oavsett om bolaget har en HR-funktion eller om VD också är personalansvarig. Klicka för att hoppa till respektive sektion.

§ 03 — Katalog

Varje process är klassificerad.

Filtrera på klassificering för att fokusera på de processer som är allmänna, typiska eller bara villkorade. Varje process anger även typiska informationstillgångar — generiska informationsobjekt som processen normalt producerar eller konsumerar, oberoende av val av system eller leverantör. Informationstillgångarna är exempel på typiska informationsobjekt — inte krav på att varje bolag måste ha exakt dessa dokument eller register. Filterknapparna är tangentbordsnavigerbara och tabellerna använder semantisk HTML med scope-attribut och visuellt dolda tabellförklaringar för skärmläsare.

Visar samtliga processer.

Område 01.

Bolagsstyrning & ägaradministration

Processer som rör aktiebolagets formella styrning, ägarförhållanden och förhållande till Bolagsverket. Flertalet är obligatoriska för alla aktiebolag enligt aktiebolagslagen (ABL).

Bolagsstyrning & ägaradministration — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Bolagsstämma / årsstämma	Allmän	Lagkrav enligt aktiebolagslagen (ABL).	Kallelse, dagordning, stämmoprotokoll, röstlängd, fullmakter
Styrelsemöten och protokoll	Allmän	Styrelsen ska sammanträda när det behövs; protokollkrav enligt ABL.	Kallelse, dagordning, styrelseprotokoll, beslutsbilagor
Aktiebok PD	Allmän	Styrelsen ska upprätta och löpande föra aktiebok.	Aktiebok, aktieägarregister, transaktionshistorik
Bolagsordning	Allmän	Obligatorisk; ändringar registreras hos Bolagsverket.	Bolagsordning, ändringsbeslut
Firmateckning och fullmakter PD	Allmän	Beslut om firmateckning i styrelsen. Bolagsrättslig sida av frågan.Se även: Område 10 — fullmakter och behörigheter (operativ sida).	Firmateckningsregister, fullmaktsbeslut, registreringsbevis
Anmälningar till Bolagsverket	Allmän	Styrelseändringar, adressändringar, årsredovisning m.m.	Anmälningsblanketter, registreringsbevis, ärendekorrespondens
Verklig huvudman PD	Allmän	Anmälan och underhåll i Bolagsverkets register. Vissa noterade bolag och dotterbolag undantagna.	Register över verklig huvudman, ägarkedjor, kontrollberäkningar
Årsredovisning och fastställelse	Allmän	Upprättande, fastställande på stämma och inlämning till Bolagsverket.	Årsredovisning, revisionsberättelse, fastställelsebeslut
Utdelning och vinstdisposition PD	Villkorad	Aktuellt vid beslut om utdelning. Primärt bolagsrättslig process.Se även: Område 03 — utdelning till ägare (finansiell sida).	Vinstdispositionsbeslut, utdelningsbeslut, stämmoprotokoll
Revisor och revisionsberättelse	Villkorad	Krav vid viss storlek eller om bolagsordningen anger revisor.	Revisionsavtal, revisionsberättelse, revisionspromemoria
Aktieägaravtal PD	Villkorad	Vanligt vid flera ägare, men inte obligatoriskt.	Aktieägaravtal, ändringsavtal
Ägarförändringar PD	Villkorad	Aktuellt vid överlåtelse, nyemission eller inlösen.	Överlåtelseavtal, aktiebok-uppdatering, aktiebrev
Kapitalåtgärder (nyemission, minskning)	Villkorad	Vid behov; formkrav enligt ABL. Bolagsrättslig sida.Se även: Område 03 — kapitalanskaffning (finansiell sida).	Emissionsbeslut, teckningslista, registreringsunderlag
Kontrollbalansräkning	Villkorad	Vid misstanke om att eget kapital understiger halva aktiekapitalet.	Kontrollbalansräkning, revisorsutlåtande, styrelsebeslut

Område 02.

Ekonomi, redovisning & skatt

Löpande ekonomi- och skatteprocesser i bolaget. Många är direkt lagstyrda; vissa villkoras av om bolaget är momsregistrerat eller arbetsgivare.

Räkenskapsinformation ska enligt Bokföringsnämnden sparas i sju år efter det kalenderår då räkenskapsåret avslutades.

Ekonomi, redovisning & skatt — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Löpande bokföring	Allmän	Lagkrav enligt bokföringslagen (BFL).	Verifikationer, huvudbok, dagbok, kontoplan
Kundfakturering PD	Typisk	Inklusive fakturaspecifikation enligt momslagstiftning. Sällsynt i vilande bolag.	Kundfakturor, fakturaunderlag, kreditfakturor
Leverantörsfakturor och leverantörsreskontra PD	Typisk	Mottagning, kontering, attest och betalning. Aktiv verksamhet förutsatt.	Leverantörsfakturor, attestkedja, betalningsuppdrag
Leverantörsregister / leverantörs-masterdata PD	Typisk	Strukturerat register över aktiva leverantörer, bank-/skatteuppgifter och kontaktpersoner.	Leverantörs-masterdata, bank- och skatteuppgifter, kontaktpersoner
Kundreskontra, inbetalningar och påminnelser PD	Typisk	Inkluderar dröjsmålsräntor och påminnelseflöde.	Kundreskontra, betalningsregistreringar, påminnelser
Inkasso och kravhantering PD	Villkorad	Aktuell när påminnelser inte räcker. Inkassolagen ställer specifika krav på god inkassosed.	Kravbrev, inkassoärenden, betalningsföreläggande
Betalningar och bankadministration	Allmän	Behörigheter, attestnivåer, eventuell dubbel signering.	Betalningsfiler, attestlogg, kontoutdrag
Inköp, utlägg och attest	Allmän	Skalas upp till mer formell attestordning när bolaget växer.	Inköpsorder, utläggsrapporter, attestbeslut
Preliminärskatt (F-skatt) och skattekonto	Allmän	Avstämning av skattekontot löpande.	Skattebesked, skattekontoutdrag, F-skatteregistrering
Inkomstdeklaration för aktiebolaget	Allmän	Inkomstdeklaration 2 (INK2) årligen.	INK2-deklaration, deklarationsunderlag, skattebesked
Bokslut och årsredovisningsunderlag	Allmän	Periodavslut, avstämningar, värderingar.	Periodavstämningar, bokslutsbilagor, värderingsunderlag
Likviditets- och kassaflödeshantering	Allmän	Kassaflödesprognoser, betalningsberedskap.	Likviditetsprognos, kassaflödesrapport, betalningsplan
Momsredovisning	Villkorad	Endast om bolaget är momsregistrerat. Deklaration ska lämnas även vid noll moms för momsregistrerade.	Momsdeklaration, momsunderlag, periodspecifikation
Arbetsgivardeklaration på individnivå (AGI) PD	Villkorad	Endast om bolaget är arbetsgivare; månadsvis per redovisningsperiod.	AGI-deklaration, lönespecifikationer, skattedragningsunderlag
Anläggningsregister	Villkorad	Om bolaget har materiella eller immateriella anläggningstillgångar.	Anläggningsregister, avskrivningsplan, värderingsunderlag
Skattefrågor vid förmåner och representation PD	Villkorad	Aktuellt vid förmåner, representation eller resor som ska förmånsbeskattas.	Förmånsregister, representationsunderlag, förmånsberäkningar
Arkivering av räkenskapsinformation	Allmän	Sju år efter räkenskapsårets slut.	Arkivlista, gallringsbeslut, räkenskapsarkiv
Budget, prognos och uppföljning	Mognadsberoende	Formaliseras när verksamheten växer.	Budget, prognoser, uppföljningsrapporter
Revisionskontakt	Villkorad	Endast om bolaget har revisor.	Revisionsplan, revisionsfrågor, korrespondens med revisor

Område 03.

Bank, finansiering & kapital

Relationen till bank och kapitalmarknad. Många små bolag har endast bankkonto och utdelning som processer; större eller tillväxtorienterade bolag har en bredare uppsättning.

Bank, finansiering & kapital — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Bankrelationer och bankkonton PD	Allmän	Avtal, behörigheter, kundkännedom (KYC), bolagsbevis.	Bankavtal, KYC-underlag, bolagsbevis
Betalningsbehörigheter och säkerhet	Allmän	Ofta överlapp med ekonomi och IT-säkerhet.	Behörighetsregister, attestmodell, ändringslogg
Likviditetsreserv	Mognadsberoende	Policy för buffertar, placering av kassa.	Placeringspolicy, placeringsbeslut, kassaflödesprognos
Lån och krediter	Villkorad	Endast om bolaget tar upp finansiering.	Låneavtal, säkerheter, amorteringsplan
Leasing	Villkorad	Aktuellt vid leasade tillgångar; krav på redovisningshantering.	Leasingavtal, leasingregister, redovisningsunderlag
Ägarfinansiering (lån från ägare m.m.) PD	Villkorad	Aktuellt vid lån från ägare till bolaget eller andra ägarrelaterade finansieringsupplägg. Skilj från lån från bolaget till ägare eller närstående, där särskilda associationsrättsliga och skatterättsliga regler kan aktualiseras.	Låneavtal med ägare, ränteberäkningar, skattemässiga underlag
Kapitalanskaffning / nyemission	Villkorad	Finansiell sida av kapitalåtgärden.Se även: Område 01 — kapitalåtgärder (bolagsrättslig sida).	Emissionsdokument, investerarinformation, teckningslista
Utdelning till ägare PD	Villkorad	Finansiell sida av utdelning.Se även: Område 01 — utdelning och vinstdisposition (bolagsrättslig sida).	Utdelningsbeslut, betalningsorder, KU31-underlag

Område 04.

HR, arbetsgivare & arbetsmiljö

Kategorin är i sin helhet villkorad av att bolaget har anställda. Ett enmansaktiebolag utan anställda har normalt inga av processerna i utövande mening, även om vissa kan vara relevanta för ägar-VD i begränsad form (t.ex. försäkringar).

Arbetsmiljöverket anger att arbetsgivare ska följa upp sitt systematiska arbetsmiljöarbete årligen, och att vissa dokumentationskrav träder in vid minst tio arbetstagare.

HR, arbetsgivare & arbetsmiljö — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Rekrytering PD	Villkorad	Om bolaget anställer.	Kravprofil, ansökningar, urvalsbeslut, kandidatutvärderingar
Anställningsavtal och personaladministration PD	Villkorad	Anställningsbevis, personalakt.	Anställningsavtal, personalakter, lönerevisionsbeslut
Bakgrundskontroller PD	Villkorad	Endast vid behov. Behandling kräver rättslig grund enligt artikel 6. Om kontrollen omfattar särskilda kategorier av personuppgifter eller uppgifter om lagöverträdelser krävs även bedömning enligt artikel 9 respektive artikel 10.	Kontrollintyg, bedömningsunderlag, dokumenterad behovs- och laglighetsbedömning; eventuella registerutdrag endast om särskilt stöd finns
Onboarding PD	Villkorad	Introduktion, behörigheter, utbildning.	Introduktionsplan, behörighetsbeställningar, utbildningsbevis
Lönehantering PD	Villkorad	Krav på rapportering till Skatteverket via AGI.	Löneunderlag, lönespecifikationer, skattedragningsunderlag
Semester, frånvaro och sjukfrånvaro PD	Villkorad	Inkl. semesterlagen, sjuklöneperiod.	Frånvaroregister, semesterledighetsbeslut, sjukintyg
Rehabilitering och arbetsanpassning PD	Villkorad	Arbetsgivarens rehabiliteringsansvar.	Rehabiliteringsplan, läkarintyg, Försäkringskassan-handlingar
Systematiskt arbetsmiljöarbete (SAM)	Villkorad	Krav för arbetsgivare; utökade dokumentationskrav vid ≥10 arbetstagare.	SAM-dokumentation, riskbedömningar, åtgärdsplaner
Tillbud, olyckor och arbetsmiljörisker PD	Villkorad	Anmälan till Arbetsmiljöverket vid allvarliga händelser.	Tillbudsrapporter, anmälningar till Arbetsmiljöverket, utredningar
Pensioner och försäkringar för personal PD	Villkorad	Tjänstepension, kollektivavtal eller egen lösning.	Pensionsavtal, försäkringsbrev, premiebesked
Personaldokumentation och personalakter PD	Villkorad	Direkt GDPR-relevant; gallring vid avslut.	Personalakter, anställningshistorik, intyg
Förmånshantering PD	Villkorad	Förmånsbeskattning, policy.	Förmånsregister, förmånsbeslut, värderingsunderlag
Konsult- och inhyrningshantering PD	Villkorad	Avtal, ansvarsfördelning, eventuellt arbetsmiljöansvar.Se även: Område 06 — konsultstyrning.	Konsultavtal, inhyrningsbeställningar, ansvarsfördelning
Offboarding PD	Villkorad	Behörigheter avslutas, slutlön, intyg.	Uppsägningsbeslut, slutintyg, behörighetsavslut
Medarbetar- och lönesamtal PD	Mognadsberoende	Formaliseras i takt med personalstyrka.	Samtalsanteckningar, lönerevisionsbeslut, kompetensbedömningar
Kompetensutveckling och utbildning PD	Mognadsberoende	Kompetensförsörjningsplan vid behov.	Utbildningsregister, kursbevis, kompetensplaner

Område 05.

Försäljning, kund & marknad

Hela kund- och marknadsspåret från lead till långsiktig kundrelation. Området är typiskt i rörelsedrivande bolag men inte i alla — vilande bolag, holdingbolag och interna serviceaktiebolag saknar ofta ett kundgränssnitt.

Försäljning, kund & marknad — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Leadshantering och prospektering PD	Villkorad	Aktuellt för bolag som aktivt säljer/prospekterar. Holdingbolag och interna bolag kan sakna detta.	Leads, prospektlista, kontaktloggar
Offertprocess	Typisk	Prissättning, villkor, godkännanden.	Offerter, prisförslag, godkännanden
Avtalsprocess	Typisk	Förhandling, granskning, signering, arkivering.Se även: Område 10 — avtalshantering över livscykel (samlad avtalsdisciplin).	Kundavtal, signeringsunderlag, förhandlingsnoteringar
Orderhantering	Typisk	Mottagning, bekräftelse, leveransstart.	Kundorder, orderbekräftelser, leveransbesked
Kundregistrering och kundadministration PD	Typisk	Kundbas i affärssystem eller CRM.	Kunddata, kundkontaktuppgifter, kundhistorik
Kundregister / kund-masterdata PD	Typisk	Den auktoritativa kundkällan; ofta sammankopplad med ROPA-poster för kundadministration.	Kund-masterdata, kontaktpersoner, segmenteringsdata
Kreditbedömning av kund PD	Villkorad	Aktuellt vid kredit, faktura mot privatperson eller höga belopp.	Kreditbeslut, kreditupplysningar, kreditgränser
Kundsupport PD	Typisk	Felanmälningar, frågor, ärenden. Saknas i bolag utan kundgränssnitt.	Ärenden, supportlogg, ärendehistorik
Marknadsföring och kommunikation	Typisk	Innehållsproduktion, kampanjer. Vanlig i marknadsorienterade bolag.	Kampanjmaterial, målgruppslistor, innehåll
Publik webbplats och digital närvaro	Typisk	Drift, innehåll, juridiska sidor. Inte en faktisk basprocess i alla aktiebolag.	Webbinnehåll, integritetspolicy, cookies-information
Pris- och villkorshantering	Villkorad	Relevant när bolaget säljer produkter eller tjänster med prislista eller avtalsvillkor.	Prislistor, standardvillkor, rabattbeslut
Avtalsförnyelse och uppsägning	Villkorad	Endast relevant vid återkommande avtal med löptid.	Förnyelseunderlag, uppsägningsbeslut, avtalsbevakning
Kundnöjdhet och feedback PD	Mognadsberoende	Net Promoter Score (NPS), undersökningar, klagomålsanalys.	Enkätsvar, NPS-data, klagomålsrapporter
Nyhetsbrev och marknadssamtycken PD	Villkorad	Endast vid direktmarknadsföring; samtyckeshantering och opt-out.	Prenumerantlistor, samtyckesregister, utskickslogg
CRM och kundvård PD	Mognadsberoende	Systemstöd och processer för kundutveckling.	Kund-/kontaktdata, aktivitetslogg, möteshistorik

Område 06.

Leverans, produktion & kvalitet

Kärnprocesserna för att producera och leverera bolagets erbjudande. Anpassas efter om bolaget levererar varor, tjänster, projekt eller löpande prenumerationer.

Leverans, produktion & kvalitet — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Leverans av produkt eller tjänst	Typisk	Den centrala värdeskapande processen i rörelsedrivande bolag.	Leveransunderlag, leveransrapporter, kundkommunikation
Leveransplanering	Typisk	Resursbeläggning, schemaläggning, beroenden.	Resursplaner, leveransscheman, beroendekartor
Kundacceptans / leveransgodkännande	Typisk	Definierar att leveransen är fullbordad.	Acceptansprotokoll, leveransbekräftelser
Kvalitetsarbete	Typisk	Förebyggande kvalitetssäkring.	Kvalitetsplan, kontrollistor, kvalitetsuppföljning
Avvikelsehantering	Typisk	Identifiering, registrering, åtgärd.	Avvikelserapporter, åtgärdsplaner, rotorsaksanalyser
Reklamationer och kundklagomål PD	Typisk	Mottagning, utredning, beslut.	Reklamationsärenden, åtgärdsbeslut, kundkorrespondens
Leverantörs- och partnerhantering PD	Typisk	Urval, uppföljning, eskalering.	Leverantörsregister, uppföljningsdokumentation, prestationsbedömningar
Konsult- och underleverantörsstyrning PD	Typisk	Avtal, instruktioner, åtkomst, eventuella personuppgiftsbiträdesförhållanden.Se även: Område 04 — konsult- och inhyrningshantering (HR-sida).	Konsultavtal, leveransbeskrivningar, åtkomstbeslut
Dokumentation av levererad tjänst eller produkt	Typisk	Leveransrapporter, drifthandledningar.	Leveransrapporter, drifthandledningar, manualer
Förändringshantering i leveransen	Mognadsberoende	Strukturerad change management.	Ändringsbegäran, ändringslogg, godkännanden
Projektstyrning	Villkorad	Endast om verksamheten är projektorienterad.	Projektplaner, styrgruppsprotokoll, riskloggar

Område 07.

Produkt- och tjänsteutveckling

De flesta aktiva bolag utvecklar sitt erbjudande löpande, men det är ingen självklar process i alla aktiebolag — vilande bolag, kapitalförvaltande bolag och rena tjänsteleverantörer saknar ofta strukturerad produktutveckling.

Produkt- och tjänsteutveckling — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Utveckling av produkter och tjänster	Typisk	Idé, design, utveckling.	Konceptbeskrivningar, kravspecifikationer, designunderlag
Förbättring av befintligt erbjudande	Typisk	Iterativa förbättringar baserade på feedback.	Ändringsförslag, releasenotes, prioriteringslistor
Test och validering	Mognadsberoende	Kvalitetssäkring innan lansering. Stark process i produktutveckling, men inte allmän.	Testfall, testresultat, defektrapporter
Prissättning av nya erbjudanden	Villkorad	Kalkyl, marknadsanalys, godkännanden. Endast vid nya erbjudanden.	Priskalkyler, marknadsanalyser, prisbeslut
Lansering / go-to-market	Villkorad	Endast aktuellt vid lansering.	Lanseringsplan, kommunikationsmaterial, lanseringsbeslut
Kundfeedback in i förbättringar PD	Mognadsberoende	Strukturerad återkoppling till utveckling.	Feedback, intervjuanteckningar, användarundersökningar
Immaterialrätt kopplad till utveckling	Villkorad	Skydd av varumärken, mönster, källkod.	Varumärkesregistreringar, mönsterskydd, licensavtal

Område 08.

IT, information & säkerhet

IT-driften är i många små bolag i hög grad outsourcad till molntjänster. Att processerna är allmänna betyder inte att de måste skötas internt, utan att de måste finnas — som hanterade tjänster eller via leverantör.

IT, information & säkerhet — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
IT-drift och support	Allmän	Ofta som molntjänst i små bolag.	Driftavtal, supportärenden, SLA-rapporter
System- och applikationsförvaltning	Allmän	Livscykelhantering av kärnsystem.	Förvaltningsplaner, systemägarregister, livscykeldokumentation
Användar- och behörighetsadministration PD	Allmän	Joiners/movers/leavers, minsta behörighet.	Användarregister, behörighetsmatris, ändringslogg
Licens- och programvaruhantering	Allmän	Spårning av licenser, förnyelser.	Licensregister, licensavtal, förnyelseplan
Enhetsadministration (datorer, mobiler)	Allmän	Konfiguration, säkerhetsuppdateringar.	Enhetsregister, konfigurationsstandarder, livscykelplan
Backup och återställning	Allmän	Teknisk kontroll för dataintegritet och tillgänglighet.Se även: Område 11 — kontinuitet och katastrofåterställning (verksamhetsprocess).	Backupplan, backupscheman, återställningstester
Kontinuitet och katastrofåterställning	Mognadsberoende	Kontinuitets- och katastrofåterställningsplan (BCP/DRP) formaliseras vid behov.	Kontinuitetsplan, katastrofåterställningsplan, övningsdokumentation
Säkerhetsincidenter PD	Allmän	Allmän incidentprocess. Personuppgiftsincidenter (§ 09) är en juridisk underkategori med egna anmälningsregler.	Incidentrapporter, incidentlogg, eftergranskningar
Åtkomststyrning PD	Allmän	Logiska åtkomstkontroller över hela systemfloran.	Behörighetsmatris, rollbeskrivningar, ändringslogg
Behörighetsgranskning (recertifiering) PD	Mognadsberoende	Periodisk översyn av att åtkomst fortfarande är motiverad.	Granskningsprotokoll, åtkomstcertifieringar, avvikelselistor
Loggning och övervakning PD	Mognadsberoende	Säkerhetslogganalys (SIEM) och formaliserad övervakning.	Systemloggar, säkerhetsloggar, larmregler
Informationsklassning	Mognadsberoende	Modell för konfidentialitet, riktighet och tillgänglighet.	Klassificeringsregister, klassningsbeslut, klassningsmodell
Informationsägarskap	Mognadsberoende	Uttalat ägarskap per informationsmängd; förutsättning för klassning och åtkomststyrning.	Informationsägarregister, ansvarsfördelning, ägarbeslut
Register över system och applikationer PD	Mognadsberoende	Systeminventering är fundament för både internkontroll och ROPA.	Systemregister, applikationsförteckning, integrationskarta
Incidentövning och kontinuitetsövning	Mognadsberoende	Återkommande tester av incident- och kontinuitetsplaner.	Övningsscenarier, övningsrapporter, åtgärdsuppföljning
Leverantörssäkerhet	Mognadsberoende	Säkerhetskrav på IT-leverantörer.	Säkerhetskrav, leverantörsbedömningar, granskningsrapporter
Sårbarhetshantering	Bransch / storlek	Beroende av verksamhetens riskprofil.	Sårbarhetsrapporter, patchplan, åtgärdsuppföljning
AI-användning och modellstyrning PD	Bransch / storlek	Beroende av användning, roll och riskklass. EU:s AI-förordning kan påverka krav på styrning, dokumentation och kontroll, särskilt vid högrisk-AI eller AI som behandlar personuppgifter.	AI-register, modellkort, riskbedömningar
Kamerabevakning PD	Villkorad	Tillståndsplikten för kamerabevakning — som gällde myndigheter och vissa verksamheter av allmänt intresse, inte privata bolag i allmänhet — avskaffades den 1 april 2025. Verksamheten måste fortfarande bedöma bevakningen enligt GDPR och kamerabevakningslagen, informera berörda personer och, där det krävs, dokumentera intresseavvägning och föra förteckning över bevakningen.	Bevakningsförteckning, intresseavvägning, information till berörda

Område 09.

Dataskydd & personuppgiftshantering

Dataskydd hanteras som en egen kategori, separerad från generell IT. Omfattningen styrs av vilka personuppgifter bolaget behandlar och i vilket syfte.

Undantaget från ROPA-kravet för organisationer med färre än 250 anställda gäller inte om behandlingen inte är tillfällig, innebär risk eller omfattar känsliga personuppgifter eller uppgifter om lagöverträdelser. IMY har särskilt påpekat att löneadministration alltid måste registreras och rekommenderar i praktiken register även där undantag formellt kan vara tillämpligt.

Dataskydd & personuppgiftshantering — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Register över behandlingar (ROPA) PD	Villkorad	Formellt krav enligt artikel 30 om behandlingen inte är tillfällig, innebär risk eller omfattar känsliga personuppgifter eller uppgifter om lagöverträdelser. IMY rekommenderar register även där undantag kan tillämpas — i praktiken nästan alltid relevant.	ROPA-register, behandlingsbeskrivningar, lagringsmotiveringar
Personuppgiftsbiträdesavtal (PUB-avtal) PD	Villkorad	Krävs när andra parter behandlar personuppgifter för bolagets räkning som personuppgiftsbiträden. I praktiken mycket vanligt eftersom moln- och driftleverantörer normalt är biträden.	PUB-avtal, underbiträdesförteckningar, biträdesbedömningar
Integritetsinformation till registrerade PD	Allmän	Information enligt artiklarna 13 och 14 vid varje behandling.	Integritetspolicy, behandlingsinformation, informationsblad
Rättighetsförfrågningar (DSR) PD	Allmän	Hantering inom en månad enligt artikel 12. Tidsfristen kan förlängas med ytterligare två månader vid komplexa eller många begäranden, men den registrerade ska då informeras inom en månad.	DSR-ärenden, beslutsdokumentation, ärendelogg
Gallring och radering PD	Allmän	Gallringsbeslut per behandling.	Gallringsbeslut, gallringsplan, raderingsrapporter
Personuppgiftsincidenter PD	Allmän	Anmälan till IMY utan onödigt dröjsmål och om möjligt inom 72 timmar vid anmälningsplikt.Se även: Område 08 — säkerhetsincidenter (allmän incidentprocess).	Incidentanmälan till IMY, incidentutredning, åtgärdsplan
Konsekvensbedömning avseende dataskydd (DPIA) PD	Villkorad	Krav vid sannolikt hög risk för registrerade. Mindre integritetsanalys (PIA) används ibland som lättviktigare första steg.	DPIA-rapport, riskbedömning, åtgärdsplan
Tredjelandsöverföringar PD	Villkorad	Endast om data överförs utanför EU eller EES. Schrems II-bedömning och lämpliga skyddsåtgärder.	Överföringsmekanismer, transfer impact assessment, standardavtalsklausuler
Samtyckeshantering PD	Villkorad	Vid behandlingar som stödjer sig på samtycke som rättslig grund.	Samtyckesregister, opt-out-loggar, samtyckeshistorik
Hantering av känsliga personuppgifter PD	Villkorad	Kräver både rättslig grund enligt artikel 6 och ett tillämpligt undantag enligt artikel 9.2.	Rättsliga grunder, undantagsmotiveringar, behandlingsdokumentation
Dataskyddsombud (DPO)	Villkorad	Krav vid t.ex. kärnverksamhet med omfattande regelbunden och systematisk övervakning, eller storskalig behandling av särskilda kategorier av personuppgifter.	DPO-rapporter, granskningsanteckningar, korrespondens med IMY

Område 10.

Juridik, compliance & risk

Avtals- och regelefterlevnadsprocesser samt övergripande riskhantering. Branschspecifika krav (t.ex. finansiell tillsyn) ligger på toppen av detta.

Juridik, compliance & risk — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Avtalshantering över avtalets livscykel	Allmän	Samlad avtalsdisciplin: skapa, granska, signera, förvalta, avsluta.Se även: Område 05 — avtalsprocess (försäljningssida).	Avtalsregister, avtalsversioner, avtalsbevakningar
Avtalsmallar och standardvillkor	Mognadsberoende	Många små bolag har avtal, men inte nödvändigtvis ett strukturerat mallbibliotek.	Mallbibliotek, standardvillkor, ändringshistorik
Fullmakter och behörigheter PD	Typisk	Operativa fullmakter, beslutsmandat, återkallande. Mindre bolag har sällan en separat fullmaktsprocess utöver firmateckning.Se även: Område 01 — firmateckning (bolagsrättslig sida).	Fullmaktsbeslut, behörighetsregister, återkallandebeslut
Regelefterlevnad	Allmän	Grundläggande lag- och regelkrav identifieras och följs. Branschspecifika krav tillkommer vid reglerad verksamhet.	Regelregister, regelbevakning, efterlevnadsrapport
Försäkringsadministration	Typisk	Företagsförsäkring, ansvar, egendom. Vanligt och klokt, men inte en absolut process i alla bolag.	Försäkringsbrev, skadeärenden, premiebesked
Tvist- och kravhantering PD	Villkorad	Vid tvister, krav, inkasso.	Tvistehandlingar, processhandlingar, ärendelogg
Immaterialrätt (varumärken, domäner, licenser)	Villkorad	Vid IP att skydda eller licensiera.	Varumärkesregistreringar, domännamnsförteckning, licensavtal
Policyhantering	Mognadsberoende	Beslut, översyn och kommunikation av policyer.Se även: Område 11 — policyer och styrande dokument (primär process).	Policyregister, beslutshistorik, översynsplan
Riskhantering	Mognadsberoende	Formaliserad riskidentifiering och åtgärd.	Riskregister, riskåtgärder, uppföljning
Internkontroll	Mognadsberoende	Strukturerad kontrollmiljö (t.ex. COSO-influerad).	Kontrollmatris, testresultat, internrevisionsrapporter
Visselblåsning (intern rapporteringskanal) PD	Villkorad	Obligatoriskt för privata arbetsgivare med minst 50 arbetstagare vid kalenderårets början.	Rapporteringsärenden, utredningar, beslutshandlingar
Tillstånd och licenser	Bransch / storlek	Specifika verksamhetstillstånd om aktuellt (t.ex. finans, läkemedel, säkerhet).	Tillståndsbeslut, förnyelseunderlag, villkorsförteckning
Export, sanktioner och handelsrestriktioner	Bransch / storlek	Aktuellt vid internationell handel och dual-use-relaterade leveranser.	Sanktionsscreening, kontrollunderlag, klassificeringsbeslut
Hållbarhetsrapportering (CSRD / ESG)	Bransch / storlek	Storleks- och tidsberoende krav enligt CSRD. Mindre bolag kan påverkas indirekt via kunders värdekedjekrav, men EU:s value chain cap begränsar vilka uppgifter större CSRD-bolag kan kräva från företag i värdekedjan.	Hållbarhetsrapport, ESG-data, intressentmappning

Område 11.

Strategi, ledning & verksamhetsstyrning

Den process som binder ihop bolagets riktning med dess löpande verksamhet. I små bolag är ledningsprocesserna ofta integrerade med styrelsearbetet.

Strategi, ledning & verksamhetsstyrning — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Affärsplanering	Typisk	Övergripande inriktning för verksamheten.	Affärsplan, strategidokument, marknadsanalys
Ledningsmöten och verksamhetsuppföljning	Typisk	Regelbundna avstämningar.	Mötesprotokoll, dagordningar, uppföljningsrapporter
Ägar- och styrelserapportering	Allmän	Rapporter till styrelsen och stämman.	Rapporter, KPI-uppföljning, beslutsunderlag
Investeringsbeslut	Typisk	Beslutsmandat, kalkyl, uppföljning.	Investeringskalkyler, beslutsprotokoll, uppföljning
Affärsmodell och erbjudandeutveckling	Typisk	Strategiska val kring erbjudande och kunder.	Affärsmodellsbeskrivningar, erbjudandekartor
Mål, nyckeltal (KPI) och prioriteringar	Mognadsberoende	Strukturerat ramverk för nyckeltal.	KPI-rapporter, måluppföljning, prioriteringslistor
Resursplanering	Mognadsberoende	Personal- och kapacitetsplanering.	Resursprognoser, kapacitetsplaner, kompetensbalans
Policyer och styrande dokument	Mognadsberoende	Primärt processägarskap för styrdokument. Mallar för dokument förvaltas separat.Se även: Område 10 — policyhantering och Område 13 — mallar och styrande dokument.	Policyer, riktlinjer, översynsbeslut
Krishantering och kontinuitetsledning	Mognadsberoende	Krisplan, larmrutiner.	Krisplan, larmlistor, övningsdokumentation
Förändringsledning	Mognadsberoende	Strukturerat genomförande av förändringar.	Förändringsplaner, kommunikationsplaner, intressentanalyser

Område 12.

Lokaler, utrustning & fysisk arbetsplats

Hela kategorin är villkorad: ett bolag som arbetar helt distribuerat utan lokaler eller delar coworking-yta har sällan dessa processer i någon strukturerad form.

Lokaler, utrustning & fysisk arbetsplats — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Lokalhyra / kontorslokal	Villkorad	Hyresavtal, drift.	Hyresavtal, hyresavier, lokalspecifikation
Nycklar och passerkort PD	Villkorad	Behörigheter, återlämning.	Passerkortsregister, nyckelförteckning, kvittensregister
Inventarier och anläggningstillgångar	Villkorad	Spårning, inventering.	Inventarieförteckning, värderingsunderlag, inventeringsrapporter
Arbetsutrustning till medarbetare PD	Villkorad	Datorer, möbler, övrig utrustning.	Utrustningsregister, kvittensregister, utrustningsstandard
Kontorssäkerhet	Villkorad	Fysiska skalskydd, larm.	Larm- och säkerhetsdokumentation, åtkomstregler, larminställningar
Brandskydd och systematiskt brandskyddsarbete (SBA)	Villkorad	Krav på fastighetsägare och nyttjare.	SBA-dokumentation, brandskyddsritningar, riskanalys
Arbetsplatsrutiner PD	Villkorad	Hantering av besökare, post, leveranser.	Besöksregister, postlogg, leveranshantering

Område 13.

Dokumentation, arkiv & gallring (tvärgående)

En tvärgående kategori som bär upp i princip alla andra processer: bokföring, avtal, HR, bolagsstyrning och GDPR. Att hantera den separat gör det tydligt att gallring och arkivering inte är knutet till ett enskilt område.

Dokumentation, arkiv & gallring — processer, klassificering, kommentar och typiska informationstillgångar.
Process	Klassificering	Kommentar	Typiska informationstillgångar
Dokumenthantering	Allmän	Plats, struktur, namnstandard.	Dokumentstrukturer, namnstandard, ägarregister
Arkivering	Allmän	Inkl. räkenskapsinformation 7 år.	Arkivlista, arkivplan, arkiveringsbeslut
Gallring	Allmän	Gallringsbeslut kopplade till behandlingar och avtal.	Gallringsbeslut, gallringsplan, raderingsrapporter
Versionshantering	Allmän	Grundläggande spårbarhet i viktiga dokument; mer formell versionsstyrning är mognadsberoende.	Versionsregister, ändringslogg, versionsbeslut
Mallar och styrande dokument	Mognadsberoende	Underhåll av godkända mallar.Se även: Område 11 — policyer och styrande dokument (primär process).	Mallregister, mallbibliotek, mallägare
Signering och beslutsdokumentation PD	Allmän	E-signering, protokoll, beslutsnoteringar.	Signerade dokument, signeringslogg, beslutsprotokoll
E-post och kommunikationskanaler PD	Allmän	Kanalval, hantering av e-postarkiv.	E-postarkiv, kommunikationsloggar, kanalriktlinjer

§ 14 — Ordlista

Förkortningar & centrala begrepp.

För publika referenser används svensk term först och förkortning eller engelsk motsvarighet inom parentes.

ABLaktiebolagslagen (2005:551)

BFLbokföringslagen (1999:1078)

AGIarbetsgivardeklaration på individnivå

INK2inkomstdeklaration för aktiebolag

SAMsystematiskt arbetsmiljöarbete

SBAsystematiskt brandskyddsarbete

ROPAregister över behandlingar (Records of Processing Activities)

PIAintegritetsanalys (privacy impact assessment)

DPIAkonsekvensbedömning avseende dataskydd

PUB-avtalpersonuppgiftsbiträdesavtal

DSRbegäran från registrerad (data subject request)

DPOdataskyddsombud

PDpersonuppgifter — indikator för ROPA-relevans

KYCkundkännedom (Know Your Customer)

NPSNet Promoter Score

SIEMsäkerhetslogganalys (Security Information and Event Management)

BCP / DRPkontinuitetsplan / katastrofåterställningsplan

KPInyckeltal (key performance indicator)

CSRDEU:s direktiv om hållbarhetsrapportering

CRMkundvårdssystem (customer relationship management)

§ 15 — Källor & tröskelvärden

Vad klassificeringarna stöder sig på.

Senast faktagranskat: 2026-05-25. Tröskelvärden och regelhänvisningar är kontrollerade per detta datum mot primärkällor (Bolagsverket, Skatteverket, Arbetsmiljöverket, BFN, IMY, EU-kommissionen och Riksdagen). Regler och myndighetsvägledning kan ändras och bör verifieras innan sidan används som beslutsunderlag. Sidan är ett stöd för processkartläggning och inte juridisk rådgivning.

BFN Arkivering av räkenskapsinformation. Räkenskapsinformation ska sparas i sju år efter det kalenderår då räkenskapsåret avslutades.
bfn.se → arkivering → 2026-05-25
Skatteverket Momsdeklaration. Momsregistrerade företag ska lämna momsdeklaration även om de redovisar noll moms.
skatteverket.se → deklarera moms → 2026-05-25
Skatteverket Arbetsgivardeklaration på individnivå (AGI). Lämnas per redovisningsperiod av registrerade arbetsgivare.
skatteverket.se → arbetsgivardeklaration → 2026-05-25
Arbetsmiljöverket Systematiskt arbetsmiljöarbete (SAM). Krav på årlig uppföljning; vissa dokumentationskrav träder in vid minst tio arbetstagare (AFS 2023:1).
av.se → AFS 2023:1 → 2026-05-25
Arbetsmiljöverket Visselblåsning, intern rapporteringskanal. Privata arbetsgivare med 50 eller fler arbetstagare vid kalenderårets början omfattas.
av.se → interna kanaler → 2026-05-25
Bolagsverket Aktiebok. Styrelsen ska upprätta och löpande föra aktiebok.
bolagsverket.se → aktiebok → 2026-05-25
Bolagsverket Verklig huvudman. Aktiebolag ska anmäla verklig huvudman; vissa noterade bolag och dotterbolag undantagna.
bolagsverket.se → verklig huvudman → 2026-05-25
Bolagsverket Revisor i aktiebolag. Mindre aktiebolag kan välja bort revisor om de inte överskrider tillämpliga gränsvärden och bolagsordningen inte kräver revisor.
bolagsverket.se → revisor → 2026-05-25
IMY Register över behandlingar (ROPA). Undantaget under 250 anställda gäller inte vid icke-tillfällig behandling, risk eller känsliga uppgifter — IMY nämner uttryckligen löneadministration.
imy.se → ROPA → 2026-05-25
IMY Personuppgiftsincidenter. Anmälan till IMY ska göras utan onödigt dröjsmål och om möjligt inom 72 timmar vid anmälningsplikt.
imy.se → incidenter → 2026-05-25
IMY De registrerades rättigheter. Hantering inom en månad; tidsfristen kan förlängas med ytterligare två månader vid komplexa eller många begäranden — den registrerade informeras inom en månad.
imy.se → rättigheter → 2026-05-25
IMY Personuppgiftsbiträdesavtal. Krävs när annan part behandlar personuppgifter för bolagets räkning som biträde. Biträden ska ge tillräckliga garantier och agera enligt instruktion.
imy.se → PUB-avtal → 2026-05-25
IMY Kamerabevakning. Tillståndsplikten upphörde 1 april 2025. GDPR, kamerabevakningslagen, informationskrav och intresseavvägning gäller fortsatt; vissa aktörer har särskilda dokumentationskrav.
imy.se → kamerabevakning → 2026-05-25
EU-kommissionen EU:s AI-förordning. Trädde i kraft 1 augusti 2024 och tillämpas stegvis. Många centrala regler gäller från 2 augusti 2026, medan vissa bestämmelser — bland annat för vissa högrisk-AI-system — har särskilda senare tillämpningsdatum (2 december 2027, 2 augusti 2028). Krav beror på roll, användning och riskklass.
digital-strategy.ec.europa.eu → AI Act → 2026-05-25
EU-kommissionen Hållbarhetsrapportering (CSRD). CSRD och ESRS är föremål för förenklingar och övergångsregler. Mindre bolag kan påverkas indirekt via värdekedjan, men EU:s value chain cap begränsar uppgiftskrav mot företag med 1 000 anställda eller färre.
finance.ec.europa.eu → CSRD → 2026-05-25
Riksdagen Inkassolagen (1974:182). Reglerar inkassoverksamhet och god inkassosed vid kravhantering mot gäldenär.
riksdagen.se → inkassolagen → 2026-05-25
IMY Brottsuppgifter i arbetslivet. Uppgifter om lagöverträdelser har särskilt skydd enligt artikel 10 och kräver särskilt stöd, till exempel nationell rätt, unionsrätt eller IMY-tillstånd.
imy.se → brottsuppgifter i arbetslivet → 2026-05-25
Riksdagen Aktiebolagslag (2005:551). Grundläggande associationsrättslig ram för aktiebolag — bolagsstämma, styrelse, aktiekapital, värdeöverföringar och årsredovisning.
riksdagen.se → aktiebolagslagen → 2026-05-25
Riksdagen Bokföringslag (1999:1078). Grundläggande redovisningsrättslig ram — bokföringsskyldighet, räkenskapsinformation och arkivering.
riksdagen.se → bokföringslagen → 2026-05-25

Verksamhets­processer i ett aktiebolag.