Steg-för-steg

CRM och GDPR — vad du måste veta om kunddata

Läs om crm och gdpr. Praktisk guide med tips och strategier.

Publicerad 2026-02-21

# CRM och GDPR — vad du måste veta om kunddata

GDPR gäller alla som hanterar personuppgifter — och det inkluderar ditt CRM. Men det behöver inte vara komplicerat. Här är vad du behöver ha koll på.

Vill du automatisera dina kundflöden? Boka ett kostnadsfritt strategisamtal.

Grundprinciperna

Du får samla in personuppgifter om du har en laglig grund. För kundrelationer är det oftast "berättigat intresse" (befintlig kundrelation) eller samtycke (nyhetsbrev). Du måste kunna radera data på begäran. Du måste veta vad du lagrar och varför.

CRM-specifika GDPR-krav

**Samtyckehantering:** Registrera hur och när kontakten gav samtycke. De flesta CRM har inbyggda fält för detta.

**Rätt till radering:** Du måste kunna radera en kontakt helt — alla anteckningar, mejl och historik.

**Dataexport:** Kontakter har rätt att begära ut sin data. CRM:et bör kunna exportera per kontakt.

**Registerförteckning:** Dokumentera vilka data du samlar, varför, och hur länge du sparar det.

Är populära CRM GDPR-anpassade?

**HubSpot:** Ja. Inbyggda GDPR-verktyg med samtyckebanners och dataraderingsverktyg. **Pipedrive:** Ja. GDPR-inställningar under "Data Privacy". **Lime CRM:** Ja. Svenskt och byggt med GDPR i åtanke.

Vi hjälper dig sätta upp rätt system. Kontakta oss för en kostnadsfri genomgång.

Checklista: GDPR i ditt CRM

1. Aktivera GDPR-inställningar i CRM. 2. Lägg till samtyckestext på formulär. 3. Skapa rutin för dataraderingsförfrågningar. 4. Dokumentera vilka uppgifter du samlar och varför. 5. Se till att anställda vet grunderna. 6. Granska var data lagras — EU eller USA?

---

Hur länge får du spara kunddata i ditt CRM?

En av de vanligaste frågorna vi får från småföretagare är just den här: hur länge är det okej att ha kvar en kunds uppgifter i systemet? Svaret beror på syftet.

Aktiva kunder kontra inaktiva kontakter

För en aktiv kund — någon du fakturerat eller haft kontakt med det senaste året — finns det oftast ett tydligt berättigat intresse att behålla uppgifterna. Du kan behöva dem för garantiärenden, uppföljning eller bokföring.

För inaktiva kontakter ser det annorlunda ut. En person som fyllde i ett formulär för tre år sedan men aldrig blev kund har du troligen inte längre laglig grund att lagra. Här är en tumregel som fungerar för de flesta hantverkare och småföretagare:

**Aktiva kunder:** Behåll uppgifter så länge relationen är aktiv plus rimlig tid efter (ofta 12–24 månader).

**Leads som aldrig konverterade:** Radera eller anonymisera efter 6–12 månader om ingen aktivitet skett.

**Bokföringsunderlag:** Fakturainformation måste sparas i 7 år enligt bokföringslagen — men det är inte samma sak som att ha kvar allt i CRM:et.

**Nyhetsbrevsprenumeranter:** Gäller så länge samtycket är aktivt. Avregistrering = radering av marknadsföringsdata.

Automatisera rensningen — slipp göra det manuellt

Det bästa sättet att hålla CRM:et GDPR-säkert på lång sikt är att sätta upp automatiska påminnelser eller flöden som flaggar gamla kontakter för granskning. I HubSpot kan du exempelvis skapa en lista som automatiskt samlar kontakter som inte haft aktivitet på 12 månader. Då slipper du gå igenom hela databasen manuellt en gång om året.

---

Vanliga GDPR-misstag i CRM — och hur du undviker dem

Många småföretag gör samma misstag när de sätter upp sitt CRM. Inte av oaktsamhet, utan för att ingen berättat för dem vad som faktiskt krävs. Här är de vi ser oftast:

Misstag 1: Importera kontakter utan att kontrollera samtycke

Det är frestande att importera en gammal Excel-lista med kundkontakter direkt in i CRM:et. Men om de personerna inte aktivt samtyckt till att du lagrar deras uppgifter i ett nytt system — och i synnerhet om du planerar att skicka dem e-post — behöver du antingen ha ett tydligt berättigat intresse eller inhämta nytt samtycke.

Misstag 2: Glömma tredjepartsintegrationerna

Ditt CRM är sällan ensamt. Det är kopplat till e-postverktyg, bokningssystem, fakturaprogram och kanske ett chattverktyg. Varje integration innebär att data kan flöda till ytterligare en part. Kontrollera att alla verktyg du kopplar ihop med CRM:et också hanterar data enligt GDPR — och att de lagrar data inom EU om möjligt.

Misstag 3: Inga rutiner när någon begär radering

GDPR ger individer rätt att bli glömda. Det innebär att om en kund hör av sig och ber dig radera deras uppgifter måste du kunna göra det inom 30 dagar. Utan en dokumenterad rutin för detta riskerar du att missa deadlinen — eller att missa att radera uppgifter i ett av de kopplade systemen.

En enkel rutin kan se ut så här:

Ta emot begäran skriftligt (mejl räcker).

Bekräfta mottagandet inom några dagar.

Radera kontakten i CRM, kopplade e-postlistor och eventuella integrationer.

Dokumentera att raderingen genomförts och när.

---

GDPR och CRM för hantverkare — vad som faktiskt gäller dig

Om du är elektriker, rörmokare, målare eller driver ett annat hantverksföretag kanske du tänker att GDPR mest är något för stora företag. Så är det inte. Även om du bara hanterar ett par hundra kundkontakter i ett enkelt system gäller samma grundregler.

Det som skiljer sig är proportionen. Du behöver inte en heltidsanställd dataskyddsombud eller ett komplext compliance-program. Men du behöver:

Veta vilka uppgifter du lagrar och varför.

Ha en enkel rutin om någon ber dig radera deras data.

Använda ett CRM som lagrar data inom EU eller har godkända dataöverföringsavtal.

Inte skicka marknadsföring till personer som inte bett om det.

Det är egentligen inte mer komplicerat än så för ett litet hantverksföretag. Kom igång med grunderna, dokumentera det kort och enkelt, och bygg sedan vidare därifrån.

---