Sist oppdatert: juni 2026

GDPR-sjekkliste for norske bedrifter 2026

Juridisk dokument med GDPR-tekst og personvernerklæring på skrivebordet

En GDPR-sjekkliste i Excel er det mest praktiske verktøyet for å holde orden på personvernarbeidet i bedriften. GDPR gjelder alle som behandler personopplysninger, uansett størrelse. Har du kunder, ansatte eller en nettside med kontaktskjema, gjelder GDPR deg. Kopier sjekklisten nedenfor inn i Excel eller Google Sheets, merk av etter hvert steg, og du er på god vei mot compliance. Her er alt du faktisk trenger å gjøre.

Hva er personopplysninger?

Personopplysninger er all informasjon som kan knyttes til en person. Navn, e-postadresse, telefonnummer, IP-adresse, kundenummer og bilder er alle eksempler. Også informasjon som indirekte kan identifisere noen, teller.

Tenk gjennom hvilke personopplysninger bedriften din samler inn. De fleste småbedrifter behandler: kundeinformasjon, ansattinformasjon, nyhetsbrevlister, kontaktskjemaer og besøksstatistikk på nettsiden.

De seks lovlige grunnlagene

Du kan bare behandle personopplysninger hvis du har et lovlig grunnlag. For småbedrifter er de viktigste:

Datatilsynet forklarer pliktene dine grundig og har maler du kan bruke.

Personvernerklæring

Alle bedrifter med nettside trenger en personvernerklæring. Den skal fortelle besøkende:

Skriv den på norsk og på en måte folk faktisk forstår. Unngå juridisk sjargong. Datatilsynet har maler du kan bruke som utgangspunkt.

Databehandleravtale

Hvis du bruker tjenester som behandler personopplysninger på vegne av deg, trenger du en databehandleravtale. Typiske databehandlere for en liten bedrift:

De fleste store leverandører har ferdige databehandleravtaler du kan godta i innstillingene. Sjekk at avtalen er på plass. Uten avtale bryter du GDPR.

Rettigheter folk har

Under GDPR har personer klare rettigheter over sine egne data:

Du har som hovedregel 30 dager på å svare. Ha rutiner for å håndtere slike forespørsler, selv om de kommer sjelden.

Person leser gjennom rettighetserklæring og databehandleravtale på kontoret

Hva gjør du ved et databrudd?

Et databrudd er når personopplysninger ved en feil kommer på avveie. Noen hacker e-postkontoen din, en ansatt sender kundelisten til feil mottaker, eller en laptop med kundedata stjeles.

Hvis bruddet kan utgjøre en risiko for de berørte personene, skal du melde fra til Datatilsynet innen 72 timer. Hvis risikoen er høy, skal du også varsle de berørte personene direkte. EU-kommisjonens GDPR-sider gir oversikt over reglene som gjelder i hele EØS.

Lag en enkel beredskapsplan: Hvem kontakter hvem? Hva logges? Hvem har ansvar for å melde fra? Denne planen trenger ikke være lang. En A4-side er nok.

GDPR-sjekkliste for bedrifter - klar til bruk i Excel

Her er en komplett GDPR-sjekkliste du kan kopiere direkte inn i Excel eller Google Sheets og bruke som intern sjekkliste for din bedrift. Merk av punktene etter hvert som du gjennomfører dem:

  1. Kartlegg hvilke personopplysninger du behandler og hvorfor.
  2. Skriv eller oppdater personvernerklæringen på nettsiden.
  3. Sjekk at du har databehandleravtaler med alle leverandører som håndterer persondata.
  4. Slett personopplysninger du ikke lenger trenger.
  5. Sørg for at samtykker er dokumentert (nyhetsbrev, markedsføring).
  6. Sikre dataene med sterke passord, tofaktorautentisering og kryptert lagring.
  7. Lag en enkel rutine for å håndtere innsynsforespørsler og databrudd.

Du trenger ikke gjøre alt på en gang. Start med det viktigste: personvernerklæring, databehandleravtaler og sikring av data. En IT-rådgiver som Datafolka kan hjelpe deg med den tekniske sikringen, slik at du er bedre rustet.

Slik bygger du GDPR-sjekklisten som Excel-regneark

En GDPR-sjekkliste i Excel fungerer best som et behandlingsregister. GDPR artikkel 30 krever at de fleste bedrifter fører en slik protokoll over alle behandlingsaktiviteter. Her er kolonnene du bør ha i regnearket:

Kolonne Eksempel
Behandlingsaktivitet Kundehåndtering, nyhetsbrev, lønn
Behandlingsgrunnlag Avtale, samtykke, rettslig forpliktelse
Kategorier av personopplysninger Navn, e-post, adresse, betalingsinformasjon
Databehandlere/mottakere Regnskapsfører, e-postleverandør, CRM-system
Lagringsperiode 3 år, 10 år (regnskapslov), til avmelding
Sikkerhetstiltak Kryptert lagring, tofaktorautentisering
Status Compliant / Under arbeid / Krever tiltak
Ansvarlig Navn på ansvarlig person i bedriften
Sist gjennomgått Dato for siste kontroll

Lag ett ark per behandlingsaktivitet, eller bruk ett samleark med rader per aktivitet. Gjennomgå filen minst én gang i halvåret. Trenger du hjelp med sikker lagring og tilgangsstyring for sjekklisten, les veiledningen om passord og kontosikkerhet. For teknisk IT-sikkerhet i bedriften tilbyr IT-sikkerhetstjenestene til Datafolka konkret hjelp.

Hva skjer hvis du bryter GDPR?

Bøtene kan i teorien bli opptil 20 millioner euro. I praksis er bøtene i Norge langt lavere, spesielt for småbedrifter. Datatilsynet gir ofte veiledning og advarsler før det ilegges bøter. Men det betyr ikke at du kan ignorere reglene. Omdømmetap og tap av kundetillit kan være verre enn en bot.

Den gode nyheten: For en liten bedrift som gjør de grunnleggende tingene riktig, er risikoen lav. Vis at du tar personvern på alvor. Dokumenter det du gjør. Og spør om hjelp når du er usikker.