Sist oppdatert: april 2026

GDPR sjekkliste for bedrifter: Alt du må vite og gjøre

Trenger du en GDPR-sjekkliste for bedriften din? GDPR gjelder alle som behandler personopplysninger — uansett størrelse. Har du kunder, ansatte eller en nettside med kontaktskjema, gjelder GDPR deg. Det høres komplisert ut, men for en liten bedrift handler det om noen konkrete tiltak. Her er sjekklisten med alt du faktisk trenger å gjøre.

Hva er personopplysninger?

Personopplysninger er all informasjon som kan knyttes til en person. Navn, e-postadresse, telefonnummer, IP-adresse, kundenummer og bilder er alle eksempler. Også informasjon som indirekte kan identifisere noen, teller.

Tenk gjennom hvilke personopplysninger bedriften din samler inn. De fleste småbedrifter behandler: kundeinformasjon, ansattinformasjon, nyhetsbrevlister, kontaktskjemaer og besøksstatistikk på nettsiden.

De seks lovlige grunnlagene

Du kan bare behandle personopplysninger hvis du har et lovlig grunnlag. For småbedrifter er de viktigste:

• Samtykke: Personen har sagt ja. Må være aktivt, informert og kunne trekkes tilbake.
• Avtale: Du trenger opplysningene for å oppfylle en avtale med kunden (levere en vare, sende en faktura).
• Rettslig forpliktelse: Loven pålegger deg å lagre opplysningene (regnskapslov, skattelov).
• Berettiget interesse: Du har en saklig grunn som veier tyngre enn personens personvern (markedsføring til eksisterende kunder, sikkerhet).

Datatilsynet forklarer pliktene dine grundig og har maler du kan bruke.

Personvernerklæring

Alle bedrifter med nettside trenger en personvernerklæring. Den skal fortelle besøkende:

• Hvem som er ansvarlig for behandlingen (bedriftens navn og kontaktinfo).
• Hvilke opplysninger du samler inn og hvorfor.
• Hvilket lovlig grunnlag du bruker.
• Hvem du deler opplysninger med (f.eks. regnskapsfører, nyhetsbrevtjeneste).
• Hvor lenge du lagrer opplysningene.
• Hvilke rettigheter den registrerte har (innsyn, sletting, retting).

Skriv den på norsk og på en måte folk faktisk forstår. Unngå juridisk sjargong. Datatilsynet har maler du kan bruke som utgangspunkt.

Databehandleravtale

Hvis du bruker tjenester som behandler personopplysninger på vegne av deg, trenger du en databehandleravtale. Typiske databehandlere for en liten bedrift:

• E-postleverandør (Mailchimp, Brevo).
• Regnskapsprogram (Tripletex, Fiken, Visma).
• Nettbasert CRM (HubSpot, Salesforce).
• Skylagring (Google Workspace, Microsoft 365).
• Webhotell og nettsideleverandør.

De fleste store leverandører har ferdige databehandleravtaler du kan godta i innstillingene. Sjekk at avtalen er på plass. Uten avtale bryter du GDPR.

Rettigheter folk har

Under GDPR har personer klare rettigheter over sine egne data:

• Innsyn: De kan be om å se hvilke opplysninger du har om dem.
• Retting: De kan be om at feil informasjon rettes.
• Sletting: De kan be om at opplysningene deres slettes, med noen unntak.
• Dataportabilitet: De kan be om å få utlevert dataene i et maskinlesbart format.
• Protest: De kan protestere mot behandling basert på berettiget interesse.

Du har som hovedregel 30 dager på å svare. Ha rutiner for å håndtere slike forespørsler, selv om de kommer sjelden.

Hva gjør du ved et databrudd?

Et databrudd er når personopplysninger ved en feil kommer på avveie. Noen hacker e-postkontoen din, en ansatt sender kundelisten til feil mottaker, eller en laptop med kundedata stjeles.

Hvis bruddet kan utgjøre en risiko for de berørte personene, skal du melde fra til Datatilsynet innen 72 timer. Hvis risikoen er høy, skal du også varsle de berørte personene direkte. EU-kommisjonens GDPR-sider gir oversikt over reglene som gjelder i hele EØS.

Lag en enkel beredskapsplan: Hvem kontakter hvem? Hva logges? Hvem har ansvar for å melde fra? Denne planen trenger ikke være lang. En A4-side er nok.

Praktiske tiltak du kan gjøre i dag

Her er en enkel sjekkliste for småbedrifter:

1. Kartlegg hvilke personopplysninger du behandler og hvorfor.
2. Skriv eller oppdater personvernerklæringen på nettsiden.
3. Sjekk at du har databehandleravtaler med alle leverandører som håndterer persondata.
4. Slett personopplysninger du ikke lenger trenger.
5. Sørg for at samtykker er dokumentert (nyhetsbrev, markedsføring).
6. Sikre dataene med sterke passord, tofaktorautentisering og kryptert lagring.
7. Lag en enkel rutine for å håndtere innsynsforespørsler og databrudd.

Du trenger ikke gjøre alt på en gang. Start med det viktigste: personvernerklæring, databehandleravtaler og sikring av data. En IT-rådgiver som Datafolka kan hjelpe deg med den tekniske sikringen, slik at du er bedre rustet.

Hva skjer hvis du bryter GDPR?

Bøtene kan i teorien bli opptil 20 millioner euro. I praksis er bøtene i Norge langt lavere, spesielt for småbedrifter. Datatilsynet gir ofte veiledning og advarsler før det ilegges bøter. Men det betyr ikke at du kan ignorere reglene. Omdømmetap og tap av kundetillit kan være verre enn en bot.

Den gode nyheten: For en liten bedrift som gjør de grunnleggende tingene riktig, er risikoen lav. Vis at du tar personvern på alvor. Dokumenter det du gjør. Og spør om hjelp når du er usikker.