Hva er GDPR? Alt bedriften din må vite om personvern

Hva står GDPR for?

GDPR står for General Data Protection Regulation, på norsk kalt personvernforordningen. Det er EUs regelverk for hvordan bedrifter skal behandle personopplysninger.

GDPR ble innført i EU i 2018 og gjelder også i Norge gjennom EØS-avtalen. Regelverket erstattet den gamle personopplysningsloven og ga enkeltpersoner sterkere rettigheter over egne data.

Kort forklart: GDPR handler om at folk skal ha kontroll over informasjonen som finnes om dem, og at bedrifter må behandle denne informasjonen på en trygg og lovlig måte

Gjelder GDPR for min bedrift?

Ja, mest sannsynlig. GDPR gjelder for alle virksomheter som behandler personopplysninger. Det inkluderer:

• Bedrifter med ansatte – du har personaldata (navn, adresse, lønn, fravær)
• Bedrifter med kunder – du lagrer kontaktinfo, kjøpshistorikk, preferanser
• Bedrifter med nettside – du samler IP-adresser, bruker analytics, har kontaktskjema
• Bedrifter som bruker skytjenester – regnskapssystem, CRM, e-post

Med andre ord: Nesten alle norske bedrifter må forholde seg til GDPR, uansett størrelse.

Myte: "GDPR gjelder bare for store bedrifter"
Fakta: GDPR gjelder alle som behandler personopplysninger – også enkeltpersonforetak og små AS.

Hva er personopplysninger?

Personopplysninger er all informasjon som kan knyttes til en enkeltperson, enten direkte eller indirekte:

TypeEksemplerDirekte identifiserendeNavn, fødselsnummer, bildeIndirekte identifiserendeE-post, telefonnummer, IP-adresse, bilnummerSensitive opplysningerHelse, religion, politisk syn, seksuell orientering

Sensitive opplysninger (også kalt "særlige kategorier") har ekstra strenge regler og krever som hovedregel eksplisitt samtykke.

De 5 viktigste GDPR-kravene

1. Behandlingsprotokoll

Du må dokumentere alle personopplysninger bedriften behandler – hva slags data, hvorfor du har dem, og hvor lenge du lagrer dem. Dette kalles behandlingsprotokoll og er pålagt etter GDPR artikkel 30.

👉 Les mer om behandlingsprotokoll →

👉 Lag behandlingsprotokoll med veiviseren →

2. Behandlingsgrunnlag

For hver type personopplysning må du ha en lovlig grunn til å behandle den:

GrunnlagNår brukes det?AvtaleNødvendig for å levere en tjeneste kunden har bestiltRettslig pliktPålagt ved lov (regnskap, skatt, HMS)SamtykkePersonen har sagt ja (nyhetsbrev, markedsføring)Berettiget interesseDin legitime interesse veier tyngre enn personvernet

3. Personvernerklæring

Du må informere kunder, brukere og ansatte om hvordan du behandler personopplysningene deres. Dette gjøres gjennom en personvernerklæring som skal være lett tilgjengelig – typisk i footeren på nettsiden.

👉 Lag personvernerklæring →

4. Databehandleravtaler

Bruker du leverandører som behandler persondata på dine vegne? Da trenger du en databehandleravtale (DPA) med hver av dem. Typiske databehandlere:

• Regnskapsfører
• Lønnssystem (Tripletex, Fiken)
• Skytjenester (Google, Microsoft)
• CRM og e-postmarkedsføring

👉 Lag databehandleravtale →

5. Rutiner for rettigheter og avvik

Du må ha rutiner for å håndtere:

• Innsynsforespørsler – når noen vil se hvilke data du har om dem
• Sletting – når data ikke lenger er nødvendige
• Databrudd – varsling til Datatilsynet innen 72 timer ved alvorlige hendelser

Hva skjer hvis du bryter GDPR?

Datatilsynet kan gi overtredelsesgebyr på opptil 20 millioner euro eller 4% av global årsomsetning.

I Norge har bøtene typisk ligget mellom 100.000 og flere millioner kroner:

BedriftBøtebeløpÅrsakGrindr65 mill. krUlovlig deling av brukerdataBergen kommune1,6 mill. krManglende sikkerhetDiverse SMB100-500k krManglende rutiner og dokumentasjon

Men bøter er ikke det eneste du risikerer:

• Omdømmetap
• Tap av kundetillit
• Erstatningskrav fra de berørte

Slik kommer du i gang med GDPR

Trinn 1: Ta veiviseren

Start med å kartlegge hva du har på plass og hva som mangler. Vår gratis veiviser gir deg oversikt på 5 minutter.

Trinn 2: Lag behandlingsprotokoll

Dokumenter alle personopplysninger du behandler. Les hvordan →

Trinn 3: Få på plass dokumentene

• Personvernerklæring
• Databehandleravtaler
• Cookie-erklæring

Trinn 4: Sett opp rutiner

Lag enkle prosedyrer for innsyn, sletting og avvikshåndtering.

Trinn 5: Hold det oppdatert

GDPR er ikke en engangsøvelse. Dokumentasjonen må oppdateres når ting endrer seg. Lexolve varsler deg automatisk når det er tid for gjennomgang.

Vanlige spørsmål om GDPR

Hva betyr GDPR for meg som bedriftseier?

Du er ansvarlig for at personopplysninger behandles lovlig og trygt. Det betyr at du må ha dokumentasjon på plass (behandlingsprotokoll, personvernerklæring) og rutiner for å ivareta folks rettigheter.

Trenger jeg personvernombud?

De fleste små og mellomstore bedrifter trenger ikke personvernombud. Det er pålagt for offentlige virksomheter og private bedrifter som behandler sensitive data i stor skala.

Hva er forskjellen på GDPR og personopplysningsloven?

Personopplysningsloven er den norske loven som gjennomfører GDPR i Norge. I praksis brukes begrepene om hverandre – reglene er de samme.

Gjelder GDPR for enkeltpersonforetak?

Ja, hvis du behandler personopplysninger om andre enn deg selv (kunder, leverandører, samarbeidspartnere).

Start med GDPR i dag

Med Lexolve får du:

✓ Behandlingsprotokoll generert automatisk

✓ Personvernerklæring tilpasset din bedrift

✓ Databehandleravtaler klare til signering

✓ Automatiske påminnelser om oppdatering

✓ Lexolve AI som svarer på spørsmål

Ta veiviseren og kom i gang →

Prøv gratis i 7 dager.

Les mer om personvern

• Behandlingsprotokoll: Hva det er og hvordan du lager en
• Personvernerklæring
• Databehandleravtale
• Datatilsynets veileder