Drift av e-handel i Sverige har gått från nischargument till standardkrav i många upphandlingar – och GDPR är den vanligaste anledningen. Men frågan om var plattformen körs handlar om mer än juridik. Den påverkar svarstider för dina kunder, hur snabbt du får hjälp när något går fel och hur mycket av din egen data du kan ta med dig den dag du vill byta leverantör.
Här går vi igenom de tre delarna – regelefterlevnad, latens och dataägande – och vilka konkreta frågor du bör ställa till varje leverantör innan avtalet skrivs.
GDPR och drift av e-handel i Sverige: vad som faktiskt krävs
En e-handel behandlar personuppgifter i nästan varje flöde: kundkonton, order, leveransadresser, supportärenden, beteendedata. GDPR kräver inte att all data lagras i Sverige – men den kräver att du som personuppgiftsansvarig vet var data behandlas, av vem, och att överföringar utanför EU/EES har en giltig rättslig grund.
Det är där komplexiteten brukar uppstå. Med en plattform som driftas utanför EU, eller av en leverantör som lyder under lagstiftning i tredjeland, behöver du bedöma överföringsmekanismer, tilläggsskydd och underbiträdeskedjor – ett löpande juridiskt arbete, inte en engångsövning. Med drift i Sverige hos en svensk leverantör blir samma analys väsentligt kortare: datan ligger inom EU/EES och kedjan av underbiträden är överblickbar.
Konkret ska du kunna få tydliga svar på följande av din driftleverantör:
- Var lagras produktionsdata – och var lagras backuper?
- Vilka underbiträden används, och i vilka länder finns de?
- Vem har teknisk åtkomst till miljön, och hur loggas den åtkomsten?
- Hur ser personuppgiftsbiträdesavtalet ut, och vem uppdaterar det när kedjan ändras?
HDL Commerce driftas och opereras i Sverige, vilket gör de svaren korta. Det tar inte bort ditt ansvar som personuppgiftsansvarig – men det tar bort en hel kategori av utredningar ur ditt GDPR-arbete.
Latens: varför geografin syns i kassan
Latens är tiden det tar för en förfrågan att resa mellan kundens webbläsare och servern. Den styrs i grunden av fysiskt avstånd och antal mellanled – och den går inte att cacha bort i de flöden som betyder mest för affären. Produktlistor och statiska sidor kan levereras från cache nära kunden, men inloggade B2B-vyer med kundspecifika priser, varukorgen och kassan kräver riktiga anrop till plattformen.
Säljer du främst till nordiska kunder betyder drift i Sverige att just de flödena har kort väg. Det är ingen magisk prestandalösning – dålig kod är dålig kod oavsett datacenter – men det är en grundförutsättning som inte går att kompensera i efterhand. En plattform som driftas på annan kontinent börjar varje enskild kassaförfrågan med ett avståndshandikapp – och i en kassa görs det många förfrågningar: prisuppslag, lagerkontroll, frakt- och betalalternativ. Små fördröjningar per anrop adderas till väntetid som kunden faktiskt känner av.
Drift är också människor
Latens gäller inte bara paket på nätet utan även supportvägar. När något går sönder en måndagsmorgon spelar det roll om de som opererar plattformen jobbar i din tidszon och talar ditt språk, eller om ärendet köas mot en supportorganisation på andra sidan jordklotet. HDL Commerce svarar inom 4 timmar, plattformen håller 99,3 % upptid och aktuell status redovisas öppet på driftstatussidan – be varje leverantör du utvärderar om motsvarande siffror och lika öppen redovisning.
Tredjepartstjänsterna räknas också
Kartläggningen slutar inte vid plattformen. Betalningar, e-postutskick, analys och kundtjänstverktyg behandlar också personuppgifter, och varje tjänst är en egen rad i din biträdesförteckning. Här hjälper det att arbeta med etablerade, dokumenterade integrationer i stället för hemsnickrade kopplingar: när flödet mot exempelvis betaltjänster eller marknadsföringsverktyg går via en färdig konnektor vet du vilken data som skickas, åt vilket håll och varför – vilket är exakt vad en granskning kommer att fråga om.
Dataägande: den avgörande frågan ställs sist – ställ den först
Dataägande låter självklart: det är klart att du äger din kunddata, orderhistorik och produktinformation. Men i praktiken avgörs ägandet av två saker – vad avtalet säger, och hur datan faktiskt går att få ut. En export som kräver konsulttimmar, levereras i ett proprietärt format eller saknar hela tabeller är inte ägande på riktigt.
Ställ de här frågorna i utvärderingen, innan du är kund:
- Kan vi exportera all vår data själva, när vi vill? Kunder, order, produkter, innehåll – utan att beställa ett projekt.
- I vilket format? Öppna, dokumenterade format som går att läsa in i ett annat system.
- Finns API-åtkomst till samma data? HDL Commerce exponerar REST- och GraphQL-API:er, dokumenterade på utvecklarsidorna – det gör frågan enkel att verifiera i förväg i stället för att lita på en avtalsformulering.
- Vad händer vid avtalets slut? Hur länge finns datan kvar, vem raderar den och hur bekräftas raderingen – även i backuper?
Dataägande är också en GDPR-fråga. Registrerades rättigheter – registerutdrag, rättelse, radering – förutsätter att du snabbt kan hitta och påverka en persons uppgifter i plattformen. Kan leverantören inte visa hur det går till i praktiken är det du, inte leverantören, som får problemet vid en granskning.
Så väger du ihop det
Regelefterlevnad, latens och dataägande pekar åt samma håll: välj en driftmodell där du förstår hela kedjan. För nordiska handlare betyder det i praktiken drift inom EU/EES, gärna nära kunderna, hos en leverantör som kan redovisa sina underbiträden, sin upptid och sina exportvägar utan att bli svävande. Hur HDL Commerce är byggt för det – med drift i Sverige och B2B och B2C i samma kärna – beskrivs på plattformssidan, och hela prisbilden är öppen på prissidan.
Vill du gå igenom er driftsituation?
Boka en genomgång så tittar vi på var er data behandlas i dag, hur er underbiträdeskedja ser ut och vad en flytt till svensk drift skulle innebära – byter ni plattform ingår dessutom en fri migreringsanalys. Kom igång här.


