Tjänster Case Study Blogg Om oss Kontakt
Efterlevnadsloopen

Efterlevnadsloopen

Webbutveckling · 31 maj 2026 · 5 min läsning · Torbjörn Reidarsson

Varför regelefterlevnad inte är ett projekt du blir klar med — och vad det betyder för vem du anlitar

De flesta behandlar regelefterlevnad som ett projekt. Något med ett startdatum och ett slutdatum. Man tar in en konsult, producerar en pärm med policydokument, klarar en revision — och sedan är man klar.

Man blir aldrig klar. Det är hela problemet.

Efterlevnad är inte en rak linje från okänt till godkänt. Det är en slinga med tre stationer, och slingan stänger sig själv.

Tre stationer

Specifikation med regler. Regelverket översätts till konkreta krav. Inte ”vi måste följa GDPR”, utan exakt vilka krav det ställer på det här systemet, den här datan, det här flödet.

Utveckling. Kraven byggs in i systemet. Inte bredvid. Inte efteråt. Inbyggda från start.

Förvaltning. Systemet hålls i takt med ett regelverk som rör sig.

Och så stänger sig slingan: regelverket ändras, och du är tillbaka vid specifikationen.

Att det är en slinga och inte en linje är inte en detalj — det är poängen. AML reformeras i EU just nu. GDPR-praxis flyttar sig. NIS2 fasas in. Säkerhetsskyddet skärps. Ett system som var efterlevnadssäkert 2024 är det inte 2027, om ingen följer förändringen och bygger om därefter.

Varför de flesta misslyckas

I de flesta organisationer bor de tre stationerna i tre olika personer.

Juristen läser regelverket men bygger ingenting. Utvecklaren bygger, men ser efterlevnad som någon annans checklista att skruva fast i efterhand. Revisorn granskar resultatet utan att ha rört någon av de två andra delarna.

Tre par händer. Tre överlämningar. Tre tillfällen för ”det var inte så jag menade.”

Resultatet driver. Det som var rätt tänkt i specifikationen blir ungefär rätt i bygget och svårt att belägga i revisionen. Och när regelverket sedan ändras finns ingen som äger hela kedjan och kan dra den varvet runt igen.

Att stänga slingan i ett huvud

När samma person läser regelverket som den som ska bygga det, blir designen efterlevnadssäker från början — inte lappad i efterhand. Och dokumentationen som bevisar det skriver nästan sig själv, för den som byggde förstod vad regeln faktiskt krävde.

Det är ovanligt, och det är svårt att fejka. Det är inte ”jag kan koda” och inte ”jag kan GDPR”. Det är: jag förvandlar regelverk till efterlevnadssäkra system och beviset på att de följer reglerna — hela vägen, själv.

Stationen alla underskattar är den tredje. Förvaltning är inte underhåll i betydelsen buggrättning. Det är att hålla systemet i takt med ett regelverk i rörelse. Den uppgiften kan en kund inte lämna till vilken utvecklarbyrå som helst, eller till en fristående compliancefunktion — den kräver personen som förstår både regeln och koden. Det är en hög tröskel att byta bort. Det är återkommande, inte en engångsleverans.

Det här är också varför arbetssättet jag kallar Zero Stack spelar roll bortom valet av teknik. När en ensam byggare med rätt verktyg kan äga hela kedjan — från regeltolkning till kod till bevis — försvinner överlämningarna som annars är där resultatet driver. Det som tidigare krävde tre roller ryms i ett huvud.

En ärlig invändning

Att en person stänger hela slingan är en styrka i mindre skala — en produkt, en byrå, ett avgränsat regelverk. I stora organisationer delas slingan medvetet upp mellan flera personer, och av goda skäl: en revisor som granskar sitt eget bygge är i sig ett styrningsproblem.

Så jag säljer slingan-i-ett-huvud där den faktiskt är överlägsen: fokuserade efterlevnadsprodukter, snabb leverans hela vägen, små och medelstora aktörer. Inte mot de stora teamen där arbetsdelningen är själva poängen. Rätt verktyg, rätt skala.

Affärsmodellen är slingan

Jag bygger KYC- och AML-stöd för redovisningsbyråer. AML är ett av de snabbaste regelområden som finns — vilket betyder att produkten strukturellt måste förvaltas för att förbli laglig.

Det är ingen svaghet i affärsmodellen. Det är affärsmodellen.

Efterlevnad är inte ett projekt du blir klar med. Det är en slinga du håller igång. Den som förstår det — och kan stänga slingan själv — säljer ingen pärm. Hen säljer att kunden får fortsätta sova om nätterna medan regelverket ändras.

Bygger du på en byrå där förvaltningsdelen är det som håller dig vaken? Det är precis den delen kyc.itrab.se är byggd för. Hör av dig.

#compliance #efterlevnad #grc

Relaterade artiklar

CSP, va e dé?
27 feb 2026

CSP, va e dé?

Content Security Policy (CSP) är en av de mest effektiva HTTP-headrarna du kan sätta för att skydda din webbplats mot...