GDPR og personvern for bedrifter: Komplett guide (Norge)

Hva betyr GDPR for din bedrift?

GDPR (personvernforordningen) gjelder for alle som behandler personopplysninger i Norge. Den stiller krav til hvordan data samles inn, brukes, lagres og slettes.
Formålet er å beskytte enkeltpersoner – og å gi virksomheter et tydelig rammeverk for ansvarlig databehandling.

📌 Les mer: Roller og ansvar i GDPR

Databehandleravtale (DPA)

Når du deler personopplysninger med leverandører, må dere ha en databehandleravtale.
Avtalen beskriver hvordan leverandøren behandler data på dine vegne, hvilke sikkerhetstiltak som gjelder og hvordan dere håndterer underleverandører.

I Lexolve lager du databehandleravtalen på få minutter – klart til signering.
→ Lag databehandleravtale

📌 Les mer: Eksempler på når du trenger databehandleravtale

Personvernerklæring

Personvernerklæringen er virksomhetens åpne forklaring til kunder, ansatte og brukere. Den viser hvordan dere behandler opplysninger, hvorfor dere gjør det, og hvilke rettigheter folk har.

En god erklæring er tydelig, kortfattet og forståelig – ikke juridisk tåke.
→ Lag personvernerklæring

📌 Les mer: Eksempel på personvernerklæring og krav etter GDPR

Cookies & samtykke (2025)

Fra 1. januar 2025 må norske nettsteder følge nye regler for cookie-samtykke.
“Aksepter” og “Avslå” skal være like enkle, og du må kunne vise at samtykket ble gitt frivillig og spesifikt.

Lexolve hjelper deg å oppdatere både cookie-policy og banner slik at de følger kravene – uten frustrasjon for brukerne.

→ Oppdater cookie-policy og samtykkebanner

📌 Les mer: Cookie-reglene i Norge fra 2025

Behandlingsprotokoll (ROPA)

Alle virksomheter som behandler personopplysninger systematisk, må ha en intern oversikt over behandlingsaktivitetene sine.

I Lexolve kan du sette opp behandlingsprotokollen automatisk, basert på data du allerede har lagt inn i andre avtaler.

→ Start behandlingsprotokoll

📌 Les mer: Eksempel på ROPA og Artikkel 30-krav

DPIA – personvernkonsekvensvurdering

Ved behandlinger som kan innebære høy risiko, må du gjennomføre en DPIA.
Det høres komplisert ut, men er egentlig en strukturert risikovurdering. Lexolve viser deg trinn for trinn hva som må beskrives og dokumenteres.

→ Kjør DPIA-veiviser

📌 Les mer: Eksempler på når du må gjøre DPIA

Behandlingsgrunnlag og rettigheter

GDPR bygger på at du må ha et gyldig grunnlag for hver behandling – som samtykke, avtale eller juridisk plikt.
Samtidig har enkeltpersoner rett til innsyn, retting, sletting og dataportabilitet.
Lexolve hjelper deg å dokumentere både grunnlag og håndtering av forespørsler.

📌 Les mer: Behandlingsgrunnlag og rettigheter forklart

Tekniske og organisatoriske tiltak

Personvern handler også om sikkerhet i praksis – tilgangsstyring, kryptering og opplæring.
Lexolve gir deg forslag til tiltak som passer SMB-nivå, og dokumenterer at du faktisk har gjort dem.

📌 Les mer: Sikkerhet og Artikkel 32 tiltak

Overføring utenfor EØS

Skal du bruke leverandører i USA eller andre tredjeland, må du ha lovlig overføringsgrunnlag (SCC eller annet).
Lexolve viser hvilke klausuler du trenger og hvordan de legges inn i avtalene.

📌 Les mer: Overføring av personopplysninger utenfor EØS

Databrudd og avvik

Et databrudd trenger ikke være katastrofe – hvis du håndterer det riktig.
Med klar avviksprosedyre og varsling innen 72 timer viser du at du tar ansvar.
Lexolve gir deg maler og struktur for rask respons.

→ Last ned avviksmal

Personvernombud (DPO)

Noen virksomheter må ha personvernombud – andre bør ha det frivillig som kvalitetssikring.
Her kan du sjekke om kravet gjelder deg og hvordan ombudet bør involveres.

📌 Les mer: Hvem må ha personvernombud?

Maler og ressurser

Alt på ett sted:
→ Databehandleravtale
→ Personvernerklæring
→ Cookie-policy
→ Behandlingsprotokoll
→ DPIA
→ Avviksrapport og svarbrev

FAQ – ofte stilte spørsmål

Må vi ha databehandleravtale med alle leverandører?
Ja, hvis de behandler personopplysninger på dine vegne.

Må vi ha cookie-banner hvis vi ikke bruker analyseverktøy?
Kun nødvendige cookies krever ikke samtykke – men de må likevel forklares i policyen.

Når må vi gjøre DPIA?
Når behandlingen kan medføre høy risiko – for eksempel storskala sporing eller helseopplysninger.

📌 Les mer: Full FAQ om GDPR og personvern