Vi er en bedrift på fem ansatte. Bryr Datatilsynet seg om oss?

Ja, hvis dere behandler personopplysninger. GDPR har ingen nedre størrelse-grense. Datatilsynets vedtaksregister for 2024 inkluderer både multinasjonale selskap som Norwegian og små kommuner som Eidskog (250 000 kr) og Grue (250 000 kr). Det som triggerer en sak er hovedsakelig klage fra en privatperson, ikke selskapets størrelse. Datatilsynet mottok 902 klager fra enkeltpersoner i 2024 - opp 53 prosent fra 591 i 2023. Klagene kommer fra ansatte, kunder, tidligere kunder og samboere. En misfornøyd tidligere ansatt som klager på hvordan personalmappen er behandlet, kan utløse en sak uansett om bedriften har fem eller 500 ansatte.

Hva er forskjellen på Datatilsynet og Personvernemnda?

Datatilsynet er førsteinstans - de tar opp saker, gjennomfører tilsyn og fatter vedtak. Personvernemnda er klageorgan. Hvis dere er uenige i et vedtak fra Datatilsynet, klager dere til Personvernemnda innen tre uker. Saken med NAV i 2024 er et tydelig eksempel: Datatilsynet ila 20 millioner kroner i mars, NAV klaget, Personvernemnda opphevet vedtaket i desember samme år. Sannsynligheten for at en SMB vinner i Personvernemnda er ikke null - det lønner seg å klage hvis dere har faglig grunnlag for det.

Hvor høye blir bøtene faktisk for SMB i Norge?

Lov-rammen er 20 millioner euro eller 4 prosent av global årsomsetning, men det er taket - ikke gjennomsnittet. Av de 44 vedtakene om korrigerende tiltak Datatilsynet fattet i 2024 var bare fem overtredelsesgebyr, og alle gikk til offentlige virksomheter. De fleste vedtak mot SMB er irettesettelser eller pålegg om å endre praksis. Når gebyr først tildeles til private virksomheter har de typisk ligget i sjiktet 50 000-500 000 kr de siste årene, med utslagsfaktorer som forsettlighet, antall berørte og om bedriften samarbeidet under saken. Eidskog og Grue kommune fikk begge 250 000 kr i 2024 - det er en rimelig referanse for medium-alvorlige saker i mindre virksomheter.

Vi bruker ChatGPT eller Copilot på jobben. Er det et problem?

Avhengig av hva dere mater inn. Hvis dere skriver inn kundedata, ansattes navn eller personlig korrespondanse i en åpen AI-tjeneste, sender dere personopplysninger til en amerikansk skytjeneste uten databehandleravtale - et brudd på GDPR artikkel 28 og artikkel 44 (Schrems II-problematikken). Det er ikke teoretisk. Datatilsynet har advart eksplisitt mot dette. Tre alternativer: én, bruk enterprise-versjoner med tegnet databehandleravtale (ChatGPT Enterprise, Microsoft 365 Copilot med tilleggs-vilkår, Google Workspace med Gemini i avtale). To, masker alltid alle personopplysninger før prompt - vanskelig å håndheve. Tre, kjør lokal eller EU-hostet modell der dere kontrollerer hvor data lagres. Vi anbefaler alternativ tre for SMB som behandler kundedata jevnlig.

Vi har fått varsel fra Datatilsynet - hva nå?

Først: ikke panikk. Et varsel er ikke et vedtak. Datatilsynet sender typisk et brev der de ber om svar på spesifikke spørsmål innen 30 dager. Andre: les hva som faktisk spørres - er det en konkret klage, en bredere kontroll, eller en oppfølging fra et tidligere tilsyn? Tredje: svar profesjonelt, fakta-basert og innen frist. Ikke skriv defensivt, ikke argumenter med saksbehandler. Fjerde: hvis dere ikke har god kontroll på områdene som spørres om, bruk svartiden til å rydde - Datatilsynet ser positivt på dokumentert utbedring underveis i en sak. Femte: vurder advokat hvis eksponeringen kan bli over 100 000 kr eller hvis saken kan eskalere til pålegg om å stoppe en sentral tjeneste. Mindre saker håndteres ofte greit internt.

Hvilke datakategorier får mest oppmerksomhet hos Datatilsynet?

Datatilsynets årsrapport for 2024 viser at de fire største klage-kategoriene var kundedata-håndtering, publiseringer på nett, sporing og kameraovervåking, og arbeidslivs-personvern (16 prosent av klagene). De største brudd-varslene kom fra offentlig forvaltning (42 prosent), helse og sosial (13 prosent), og finans og forsikring (13 prosent). For SMB betyr det at risikoen er høyest i fire områder: hvordan dere håndterer kundedata, hvilke ansatt-data dere lagrer og hvor lenge, hvilken sporing dere bruker på nettstedet, og om dere har kameraovervåking. Hvis dere ikke har full kontroll på disse fire, er det der dere starter.

Hvor lenge tar en tilsynssak typisk?

Fra første varsel til endelig vedtak tar en typisk tilsynssak 6-18 måneder. Klager fra enkeltpersoner som ikke utvider seg til full tilsyn lukkes ofte innen 3-6 måneder. Komplekse saker med flere parter og høy eksponering kan dra ut i 2-3 år hvis de eskalerer til Personvernemnda eller domstol. Datatilsynet er bemannet med rundt 80 årsverk per 2024 og behandlet 4 736 nye saker det året - de prioriterer hardt etter alvorlighet og presedens. Det betyr at små saker som blir håndtert ryddig fra deres side ofte lukkes uten omfattende behandling. Det betyr også at de ikke har kapasitet til å audite alle norske bedrifter proaktivt - de fleste saker starter fra en klage.

Trenger vi personvernombud (DPO)?

Krav om personvernombud gjelder offentlige myndigheter, virksomheter med systematisk overvåking i stor skala, og virksomheter som behandler særlige kategorier (helse, religion, biometri) i stor skala. De fleste private SMB faller utenfor kravet. Det betyr ikke at dere ikke trenger en personvernansvarlig - dere trenger noen som har ansvaret, vet hvor databehandleravtalene ligger, og kan svare på en klage fra en kunde. For en bedrift på 10-25 ansatte er det typisk daglig leder eller IT-ansvarlig i en deltidsrolle. Skriv rollen ned i en kort instruks slik at det er klart hvem som har det.

Publisert: 25. mai 2026 · Roy Morken, Datafolka

Datatilsynet 2026: Hva små bedrifter må vite om tilsyn, klager og sanksjoner

Skrivebord med bærbar PC, notatblokk og kaffekopp - illustrasjon for personvern-arbeid i små bedrifter — Foto: Unsplash

Datatilsynet behandlet 4 736 nye saker i 2024, mottok 902 klager fra enkeltpersoner (en økning på 53 prosent fra året før), og fattet 384 vedtak. Av disse var 44 vedtak om korrigerende tiltak eller sanksjoner. Bare fem var overtredelsesgebyr - alle til offentlige virksomheter. For norske SMB betyr det at sannsynligheten for et stort gebyr er reell, men lav. Sannsynligheten for å bli kontaktet med en konkret klage er derimot høyere enn de fleste tror.

De fleste norske SMB-eiere vi snakker med har et vagt forhold til Datatilsynet. De vet at GDPR finnes, de har en personvernerklæring de aldri har lest grundig, og de antar at det ikke gjelder dem fordi de er små. Denne artikkelen er for dem som vil ha det praktiske svaret: hva er Datatilsynet faktisk, hva er det IKKE, hva utløser en sak, hvor høye blir bøtene, og hva må dere ha på plass for å sove godt om natten.

Alle tall og eksempler er hentet fra Datatilsynets egen årsrapport for 2024, deres offentlige vedtaksregister, og Verizon Data Breach Investigations Report 2025 for internasjonal sammenligning. Ingen anonymiserte kundecase, ingen «vi har sett-historier». Bare offentlige tall og prosess oversatt til SMB-språk.

Hva Datatilsynet er - og hva det IKKE er

Datatilsynet er en uavhengig forvaltningsmyndighet under Kommunal- og distriktsdepartementet. Det betyr at de utfører tilsyn og fatter forvaltningsvedtak, men er ikke styrt politisk i enkeltsaker. Mandatet er nedfelt i personvernforordningen (GDPR), personopplysningsloven og en rekke sektor-lover om personvern på arbeidsplass, i helse, i politi og i kreditt.

Datatilsynet er ikke:

En ombudsperson som hjelper privatpersoner med å vinne saker. De tar imot klager, vurderer faglig, og fatter vedtak. De representerer ikke klageren mot virksomheten.
En dom. Vedtak kan påklages til Personvernemnda, og videre til tingretten via søksmål.
Politiet. Datatilsynet kan ikke beslaglegge utstyr eller etterforske kriminalitet - de utfører forvaltnings-tilsyn.
EUs personvernråd. Datatilsynet sitter i European Data Protection Board (EDPB) sammen med andre tilsynsmyndigheter, men EDPB er overordnet samarbeids-organ, ikke en ankeinstans.

Datatilsynet hadde rundt 80 årsverk i 2024 og behandlet 4 736 nye saker det året. Det er ikke nok kapasitet til å audite alle norske bedrifter proaktivt. De prioriterer hardt: klager med konkret skade, tilsyn i sektorer med høy risiko, og presedens-saker som gir veiledning til hele markedet. For SMB betyr det at den vanligste måten Datatilsynet kommer på døra på, er via en klage - ikke via uanmeldt kontroll.

De fem vanligste utløserne for sak

Datatilsynets årsrapport for 2024 kategoriserer hvor klagene faktisk kommer fra. Her er mønsteret i prioritert rekkefølge etter volum.

1. Kunde- og medlemsdata som behandles uten god kontroll

Største enkeltkategorien i 2024. En kunde får ikke svar på spørsmål om hvilke opplysninger som er lagret. En tidligere kunde får ikke slettet kontoen sin. Et medlem ber om innsyn og får en uleselig PDF tre måneder senere. GDPR-rettighetene (innsyn, retting, sletting, dataportabilitet, motsi) er på papiret. Når de ikke fungerer i praksis, klager folk.

Praktisk konsekvens for SMB: dere må kunne håndtere en innsyns-forespørsel innen 30 dager. Hvis kunde-systemet ikke kan eksportere data per kunde, er det et reelt problem ved første klage.

2. Publiseringer på nett uten samtykke eller hjemmel

Bilder av ansatte og kunder på sosiale medier eller nettsted. Kundeliste i markedsføring. Tidligere ansatte som fortsatt vises på «teamet vårt»-siden. Familiekanalen fikk et pålegg fra Datatilsynet i november 2024 fordi barn ble identifisert i publiserte videoer. Det er ikke et særtilfelle - det er den nest vanligste klage-kategorien.

Praktisk: gå gjennom alt offentlig publisert innhold (nettside, LinkedIn, Facebook, Instagram, Google My Business) og verifiser at hver person som er identifiserbar har samtykket - eller at det finnes annen rettslig hjemmel.

3. Sporing og kameraovervåking

Cookies som registrerer atferd uten samtykke. Sporings-piksler i nyhetsbrev. Reklame-piksler fra Meta eller Google på sider med sensitive temaer. Datatilsynet ga i 2025 et overtredelsesgebyr på 250 000 kr til en nettstedeier for ulovlig bruk av sporings-piksler - en sak som signaliserer at de ser etter dette aktivt nå.

For kamera-overvåking på arbeidsplass: krav om saklig grunn, ansatt-informasjon i forkant, lagringstid maks 7 dager med mindre konkret hendelse, og null overvåking av ansattes pauseområder. Brudd er en raskt klage-utløser fra ansatte.

4. Arbeidslivs-personvern

I 2024 utgjorde arbeidslivs-saker 16 prosent av alle klagene. Gjennomgang av ansattes e-post uten varsel. Lokasjon-sporing av tjenestebiler. Skjult overvåking av tastetrykk. Innsyn i ansattes private epost-tråder. Personalmappen som ikke ble slettet etter at en ansatt sluttet.

Praktisk: når dere overvåker ansatte på noen som helst måte (epost, lokasjon, tilstedeværelse, kamera), trengs både saklig grunn, dokumentert informasjon på forhånd, og drøftings-plikt med tillitsvalgt eller hele staben i bedrifter uten tillitsvalgt-apparat.

5. Behandling uten rettslig grunnlag

Eidskog kommune fikk i september 2024 et overtredelsesgebyr på 250 000 kr for å ha mangle rettslig grunnlag for behandling av personopplysninger. Det er den mest grunnleggende GDPR-feilen: dere må kunne svare på spørsmålet «på hvilket grunnlag behandler dere disse opplysningene?» med ett av seks grunnlag - samtykke, avtale, rettslig forpliktelse, vital interesse, allmenn interesse, eller berettiget interesse.

For SMB er svaret typisk samtykke eller avtale for kundedata, rettslig forpliktelse for regnskap og lønn, og berettiget interesse for noen markedsføring og IT-sikkerhet. Hvis dere ikke kan svare på spørsmålet for hver datakategori, har dere en lukke-feil før klagen kommer.

Sanksjonsnivåer 2023-2025 - reelle eksempler fra vedtaksregisteret

GDPR sin øvre ramme er 20 millioner euro eller fire prosent av global årsomsetning, men det er taket, ikke gjennomsnittet. Her er hva Datatilsynet faktisk har gitt de siste årene, hentet fra det offentlige vedtaksregisteret. Listen er sortert etter beløp, ikke kronologi.

Virksomhet	År	Beløp	Overtredelse
NAV	2024	20 000 000 kr (opphevet Personvernemnda des. 2024)	Tilgangsstyring og loggkontroll
Eidskog kommune	2024	250 000 kr	Manglende rettslig grunnlag
Grue kommune	2024	250 000 kr	Konfidensialitets-brudd i postjournal
Nettstedeier (sporings-piksler)	2025	250 000 kr	Ulovlig bruk av sporings-piksler
Universitetet i Agder	2024	150 000 kr	Mangelfull datasikkerhet i Microsoft Teams
Norwegian	2024	Irettesettelse	Unødvendig krav om legitimasjon
Disqus	2024	Irettesettelse	Uautorisert utlevering av personopplysninger
Familiekanalen	2024	Pålegg	Identifisering av barn i publiserte videoer

Mønsteret er tydelig: av de fem overtredelsesgebyrene Datatilsynet ga i 2024 gikk alle til offentlige virksomheter. De private sakene (Norwegian, Disqus, Familiekanalen) endte i irettesettelse eller pålegg om endring, ikke gebyr. Det betyr ikke at private SMB er trygge fra gebyr - 2025-saken med sporings-piksler er en privat aktør - men det signaliserer at Datatilsynet typisk gir muligheter til retting før de griper til økonomiske sanksjoner.

For typisk SMB er det reelle bilde slik: irettesettelse eller pålegg om endring er langt mer sannsynlig enn gebyr i en første-gangs-sak. Gebyr kommer typisk når dere ikke følger opp pålegg, samarbeider dårlig under sak, eller bruddet er åpenbart forsettlig.

Team i bedriftsmøte rundt et bord med dokumenter - illustrasjon for compliance- og personvern-arbeid — Foto: Unsplash

Hva Datatilsynet faktisk sjekker i et tilsyn

Når Datatilsynet åpner en sak, ber de typisk om en kort liste med dokumenter og svar innen 30 dager. Rekkefølgen i listen er rimelig forutsigbar etter tilsynspraksis fra 2023-2025. De starter med det enkleste å verifisere, og graver dypere hvis funn tilsier det.

1. Databehandleravtaler med leverandører

Første spørsmål i de fleste saker. Datatilsynet ber om liste over alle databehandlere (M365, Google Workspace, Tripletex, CRM, support-systemer, AI-tjenester) og signerte databehandleravtaler for hver. Manglende databehandleravtale med en stor leverandør som Microsoft eller Google er en åpenbar feil som blir registrert med en gang.

Mal finnes gratis på datatilsynet.no. For Microsoft og Google er deres standardavtaler sjekklisteneutral - dere må aktivt akseptere dem i admin-konsollen, men de fleste bedrifter har dem allerede uten å vite det. Mindre SaaS-leverandører krever ofte separat utveksling per epost.

2. Slettetider per datakategori

«Hvor lenge oppbevarer dere kundedata etter at kundeforholdet er avsluttet?» «Hvor lenge ligger søknader fra ikke-ansatte?» «Hvor lenge logger dere innlogging?» Hvis svaret er «vet ikke» eller «for alltid», har dere en åpenbar feil.

Praktisk grunnregel: kundedata oppbevares så lenge kundeforholdet varer pluss lovpålagt regnskap-oppbevaring (5-10 år avhengig av kategori). Søknader fra ikke-ansatte slettes etter at stillingen er besatt. Personalmappe etter ansatte slettes typisk etter 5 år. Backup overskrives etter 90 dager. Logger overskrives etter 6-12 måneder. Skriv ned deres egne tider - det er det Datatilsynet ber om.

3. Samtykke-mekanismer

For nettsted: vises cookie-bannere før eller etter at sporings-skript laster? (Riktig svar er før.) Kan brukeren trekke samtykke like enkelt som å gi det? For nyhetsbrev: var det dobbelt opt-in eller bare et felt? For markedsføring etter eksisterende kunde-relasjon: finnes opt-out som faktisk fungerer?

Cookiebot, Cookiehub og lignende verktøy løser det meste av cookie-konfigurasjonen hvis dere faktisk aktiverer blokkering-funksjonen før samtykke. Selve banneret er ikke nok - skriptene må holdes tilbake til bruker har samtykket.

4. Tekniske sikkerhets-tiltak

GDPR artikkel 32 krever «egnede tekniske og organisatoriske tiltak». Datatilsynet verifiserer typisk: er det MFA på administrator-kontoer, er logging slått på, er backup testet, og hvordan administreres tilganger? Universitetet i Agder fikk 150 000 kr i 2024 fordi datasikkerheten i deres Microsoft Teams-installasjon ikke var tilstrekkelig.

For SMB er det vanlige problemet ikke at MFA mangler, men at den ikke er aktivert på alle relevante kontoer. Spør Datatilsynet om bevis, og dere må kunne vise hvor stor andel av brukerne som faktisk har MFA - ikke bare at det er tilgjengelig.

5. Internkontroll og dokumentasjon

GDPR artikkel 30 krever protokoll over behandlingsaktiviteter for de fleste virksomheter. Det er en liste over hva slags personopplysninger dere behandler, til hvilket formål, på hvilket grunnlag, hvor de lagres, og hvor lenge. Det trenger ikke være langt - en 2-siders tabell holder for en SMB. Men den må eksistere, og den må være oppdatert.

5-punkts-sjekkliste for å unngå varsel

Her er den korte versjonen av alt over - en konkret sjekkliste dere kan jobbe gjennom på 1-2 uker for en typisk SMB på 5-25 ansatte. Rekkefølgen er prioritert etter hva som faktisk dominerer i Datatilsynets vedtaksregister 2023-2024.

1. Sett opp databehandleravtaler med alle leverandører som rører personopplysninger. Liste over alle systemer, signert avtale med hver, lagret samlet i et felles register. Datatilsynet ber om dette først i nesten alle saker. Manglende databehandleravtale er en topp-3-utløser for gebyr.

2. Definer og dokumenter slettetider per datakategori. Skriv et enkelt skjema - hvilken type data, hvor lenge oppbevares, hvilken regelhjemmel, hvordan slettes (automatisk eller manuelt). 1-2 dager arbeid for å skrive ned, deretter automatiser der mulig via M365 retention policies eller tilsvarende.

3. Kartlegg samtykke-mekanismene på nettsted og i kundekommunikasjon. Gå gjennom alle cookies og sporings-skript - blokkeres de før samtykke? For nyhetsbrev og markedsføring: dobbelt opt-in og enkelt opt-out. 2025-saken med 250 000 kr i gebyr til en nettstedeier for sporings-piksler viser at Datatilsynet ser etter dette nå.

4. Logg tilgang til sensitive personopplysninger med jevnlig kontroll. Aktiver logging i M365 eller Google Workspace. Gå gjennom logger kvartalsvis - hvem har tilgang, har de brukt den, og er det noen som ikke skal ha den lenger. Fjern inaktive brukere innen 30 dager.

5. Etabler 72-timers varslingsrutine for personvernbrudd. Kort prosedyre på én A4-side: hvem oppdager, hvem vurderer alvorlighet, hvem fyller ut varslingsskjemaet, hvem informerer berørte. Print den ut. Datatilsynet mottok 3 191 brudd-varslinger i 2024 - regelmessig praksis er normalt.

For en bedrift som starter fra null, er typisk arbeidsmengde 5-8 dager fordelt over 2-3 uker. For en bedrift som allerede har dokumentasjon på plass, er det 1-2 dager med oppdatering. Kost: stort sett 0 kr - alt på listen kan gjøres internt eller med gratis maler fra datatilsynet.no.

Hva skjer hvis du får varsel - 30-dagers prosess

Et brev fra Datatilsynet er ikke et vedtak. Det er en henvendelse med spesifikke spørsmål og en svarfrist. Her er hvordan en typisk sak forløper for en SMB:

Uke 0 - Brevet kommer. Datatilsynet sender brev med liste over spørsmål de vil ha svar på og en frist på typisk 30 dager. Brevet kan komme som følge av en klage, et tilsynsprosjekt i deres sektor, eller en oppfølging av et tidligere brev. Les hva som faktisk spørres - er det generelt eller spesifikt?

Uke 1 - Vurder situasjon. Identifiser hvem internt som skal lede saken (typisk daglig leder eller IT-ansvarlig). Hent inn relevante dokumenter (databehandleravtaler, retningslinjer, logger). Vurder om noe åpenbart må rettes før dere svarer.

Uke 2-3 - Forbered svar og ryddearbeid. Skriv et svar som er saklig, faktabasert og innenfor 30-dagers fristen. Hvis dere finner mangler, ryd dem opp før dere svarer - Datatilsynet ser positivt på dokumentert utbedring underveis i sak. Det kan være forskjellen mellom irettesettelse og pålegg.

Uke 4 - Send svar innen frist. Send svaret som digital sak i deres portal. Be om fristforlengelse i god tid hvis dere trenger mer tid - det gis ofte ved saklig begrunnelse. Aldri overse fristen uten å varsle.

Måned 2-6 - Saksbehandling og dialog. Datatilsynet vurderer svaret og kan komme med oppfølgings-spørsmål. Bli ved samme person internt - skift av kontaktperson midt i sak gjør prosessen rotete. Hvis dere får forhåndsvarsel om vedtak, er det fortsatt mulig å påvirke - dere får tilsvar-rett før endelig vedtak.

Måned 6-12 - Vedtak eller henleggelse. De fleste SMB-saker ender i irettesettelse eller pålegg om endring. Hvis vedtaket innebærer gebyr eller pålegg dere er uenige i, har dere tre uker på å klage til Personvernemnda.

Når trenger du advokat?

For de fleste mindre saker holder det med god intern saksbehandling og eventuell sparring med IT-rådgiver. Advokat blir relevant når:

Eksponeringen kan komme over 100 000 kr i potensielt gebyr
Saken kan utløse pålegg om å stoppe en sentral del av deres tjeneste
Saken har personalrettslige implikasjoner (overvåking, oppsigelse, varslingssaker)
Dere allerede har fått forhåndsvarsel om vedtak og vil klage
Saken kan eskalere til offentlighet via media

Personvern-spesialiserte advokater finnes i de fleste større norske firmaer (Wiersholm, Schjødt, BAHR, Thommessen) med timesatser i sjiktet 2 500-4 500 kr. For en typisk SMB-sak er totalt advokat-bistand 10-40 timer.

Privat AI og Datatilsynet - Schrems II-problemet

Et område som har vokst seg viktig de siste to årene er bruk av AI-tjenester på jobben. ChatGPT, Microsoft Copilot, Google Gemini, Claude og lignende kjører på amerikansk infrastruktur. Når en norsk SMB skriver inn kundedata eller ansatt-data i en åpen versjon av disse tjenestene, eksporteres personopplysninger til USA - og det utløser Schrems II-problematikken.

Bakgrunnen: EU-domstolen kjente i Schrems II-dommen (2020) ugyldig den daværende EU-USA-personvernsskjoldet fordi amerikansk lovgivning (FISA 702, Executive Order 12333) gir amerikanske myndigheter tilgang til data hos amerikanske leverandører på en måte som ikke er forenlig med GDPR. Erstatningen, EU-US Data Privacy Framework (DPF) fra 2023, gir et formelt grunnlag for overføring, men er fortsatt under juridisk press og kan falle.

Praktisk for SMB betyr det at åpen bruk av amerikanske AI-tjenester med personopplysninger er et reelt risikoområde - ikke nødvendigvis et øyeblikkelig brudd, men en eksponering hvis lov-grunnlaget endrer seg eller hvis Datatilsynet retter eksplisitt søkelys mot dette.

Tre alternativer i prioritert rekkefølge:

Enterprise-versjoner med databehandleravtale. ChatGPT Enterprise/Team, Microsoft 365 Copilot med tilleggsvilkår, Google Workspace med Gemini i Workspace-avtalen - alle disse har signerte databehandleravtaler og data lagres ikke for trening. Lovlig så lenge Data Privacy Framework består.
Generelle versjoner med maskering. Bruk verktøyene, men masker alle personopplysninger før prompt. I praksis vanskelig å håndheve på alle ansatte.
Privat eller EU-hostet AI. Modell som kjører i EU eller helt lokalt der dere kontrollerer hvor data lagres. Mistral, open-source-modeller som Llama eller Qwen på EU-infrastruktur, eller egen on-prem installasjon. Ingen Schrems II-eksponering.

Vi i Datafolka bygger og driver Privat AI-løsninger for SMB som vil ha AI-fordel uten å eksportere kundedata til USA. Det er ikke nødvendig for alle, men det er en reell vurdering når dere behandler sensitive data på regelmessig basis.

Sammenligning med internasjonal SMB-statistikk

For perspektiv på det norske trusselbildet, viser Verizon Data Breach Investigations Report 2025 at 88 prosent av SMB-brudd internasjonalt involverer ransomware - mot bare 39 prosent for større organisasjoner. Median løsepenge-krav var $115 000, ned fra $150 000 i 2024-rapporten. 64 prosent av ofrene nektet å betale, opp fra 50 prosent to år tidligere.

I norsk sammenheng er det relevant fordi de fleste personvernbruddene som varsles til Datatilsynet (3 191 i 2024, opp 13 prosent fra året før) ikke er klassiske hacker-angrep. 37 prosent var personopplysninger sendt til feil mottaker - klassiske menneskelige feil. Men intensjonelle angrep (hacking, phishing) økte 39 prosent, og ransomware er en del av det bildet.

Praktisk konsekvens: når et ransomware-angrep treffer en SMB med kundedata, utløser det to parallelle prosesser. En operativ - hvordan gjenoppretter dere driften. Og en personvern-prosess - var personopplysninger eksponert, og må Datatilsynet varsles innen 72 timer. Det andre løpet er ofte glemt i krisen, og det er der personvern- gebyret kommer i tillegg til selve breach-skadene.

Neste steg

Listen ovenfor er prioritert. Hvis dere bare har én uke å bruke på personvern denne måneden, jobb gjennom de fem sjekklist-punktene. Det dekker over 80 prosent av det som typisk utløser sak mot SMB. Resten er flytting fra «god» til «meget god», og kan vente til neste kvartal.

Hvis dere ønsker en sparringspartner som har sett gjennom mange SMB-oppsett og kan lede en personvern-gjennomgang på 1-2 dager, kan vi hjelpe. Det er typisk en kombinasjon av IT-rådgivning og IT-sikkerhets-vurdering der vi gjennomgår de fem sjekklist-områdene og setter opp dokumentasjonen sammen med dere.

Send en e-post til Roy.Morken@Datafolka.no , så avtaler vi en samtale.

Beslektet lesing på datafolka.no: Cybersikkerhet for små bedrifter - 8 ting du faktisk må gjøre , Privat AI uten datalekkasje og IT-sikkerhets-tjenester .

Kilder

Datatilsynet årsrapport 2024 - Kontroll og saksbehandling: datatilsynet.no/arsrapport-for-2024
Datatilsynet avgjørelser 2024 - Vedtaksregister: datatilsynet.no/avgjorelser-2024
Verizon Data Breach Investigations Report 2025: verizon.com/business/resources/reports/dbir
GDPR personvernforordningen artikkel 30, 32, 33 og 58: lovdata.no/personopplysningsloven

Roy Morken, medgrunnlegger i Datafolka. Artikkelen er bygget på Datatilsynets egen årsrapport for 2024, det offentlige vedtaksregisteret og Verizon DBIR 2025, og oversatt til praktisk språk for norske SMB. Ingen kundedata eller anonymiserte case er brukt. Sist oppdatert 25. mai 2026.