Utsatt GDPR-arbeidet for lenge?
Dårlig samvittighet? Du er ikke alene. Mange virksomheter vet at de burde rydde opp i GDPR – men skyver det foran seg fordi man tror det tar mye tid og er svært kostbart. Med Adminkit GDPR får du alt på plass i løpet av to timer sammen med en av våre erfarne personvernrådgivere.
Hva er GDPR i praksis?
GDPR handler om å dokumentere hvordan din virksomhet håndterer personopplysninger om kunder, leverandører, medlemmer og ansatte.
Du må dokumentere hvilke personopplysninger du behandler i alle de ulike systemene dere bruker
Alle virksomheter er lovpålagt å kunne dokumentere dette.
Selv i en mellomstor virksomhet, har man som oftest 20-40 ulike systemer hvor man forvalter og lagrer personopplysninger
Man er lovpålagt å ha en oppdatert protokoll over behandlingsaktiviteter (iht artikkel 30 i personvernforordningen)
Hva må man minimum ha på plass?
For å etterleve de lovpålagte minimumskravene, er du nødt til å ha disse på plass.
Behandlingsprotokoll
En oversikt som dokumenterer blant annet hvilke personopplysninger virksomheten behandler, hvorfor de behandles, og hvem de deles med. Dette er et lovkrav for å sikre kontroll og dokumentasjon av personvernarbeidet.
Risikovurdering
En risikoanalyse av hvilke personvernrisikoer virksomheten står overfor, samt tiltak for å minimere dem. Dettehjelper med å sikre at personopplysninger behandles på en trygg måte.
Personvernerklæringer
En lett tilgjengelig erklæring for eksterne og en egen for ansatte. De skal vise hva som samles inn av personopplysninger, hva de brukes til, sletterutiner og de registrertes rettigheter.
Databehandleravtaler
Samle alle databehandleravtalene med alle dine leverandører. Da har man en redegjørelse for hvordan hver enkelt leverandør behandler og sikrer data på dine vegne
Rutiner
Rutiner for sletting og hvem som har tilgang. Prosesser ved persondata på avveie, innsynsbegjæring og databrudd.
Når må du ha GDPR i orden?
Det enkle svaret er: Når du ønsker å etterleve de lovpålagte minimumskravene.
Trykk på de ulike elementene for å lese mer om hvorfor og konsekvenser av å ikke ha den lovpålagte dokumentasjonen på i orden.
Ved oppkjøp, investeringer eller partnerskap blir GDPR alltid vurdert. Manglende dokumentasjon på behandlingsgrunnlag, databehandleravtaler og rutiner kan stoppe eller forsinke prosessen – eller redusere verdien av selskapet.
Konsekvens: Avbrutte forhandlinger, prisavslag eller krav om kostbar opprydding i etterkant
Brudd på personvernregelverket kan bli offentlig kjent gjennom vedtak og sanksjoner fra Datatilsynet. Selv mindre avvik kan føre til negativ omtale og svekket tillit blant kunder, ansatte og samarbeidspartnere.
Konsekvens: Tap av tillit, kunder som velger konkurrenter – og langvarig omdømmeskade.
I mange anbud og kundeavtaler er dokumentert etterlevelse av GDPR et absolutt krav. Mangler du behandlingsprotokoll, personvernerklæring eller databehandleravtaler, kan du bli avvist før pris og kvalitet i det hele tatt vurderes.
Konsekvens: Utestengelse fra konkurranser og tapte inntektsmuligheter.
Styret har ansvar for at virksomheten følger gjeldende lover og regler. GDPR er et område med både juridisk, økonomisk og personlig ansvar. Uten oversikt og dokumentasjon kan styret ikke ivareta sitt ansvar.
Konsekvens: Økt styreansvar, risiko for kritikk – og i alvorlige tilfeller personlig ansvar.
Minimumskrav for personvernerklæring
- Behandlingsansvarlig
- Kontaktpunkt for personvern
- Hvilke personopplysninger som behandles
- Formål med behandlingen
- Behandlingsgrunnlag
- Mottakere / deling av opplysninger
- Overføring til tredjeland (hvis aktuelt)
- Lagringstid / sletterutiner
- Den registrertes rettigheter
- Klageadgang
Overtredelsesgebyr for manglende innsyn
"Datatilsynet har ilagt Timegrip AS et overtredelsesgebyr på 250 000 kroner. Bakgrunnen er at ansatte i en butikkjede ikke fikk innsyn i egne opplysninger om timeføring."
Overtredelsesgebyr til Eidskog kommune
"Datatilsynet besluttet før sommeren å ilegge et overtredelsesgebyr på 250 000 kroner til Eidskog kommune for brudd på kravene til rettslig grunnlag i personvernforordningen."
Overtredelsesgebyr til Sats
"Datatilsynet varslet et gebyr på 10 millioner kroner til Sats for brudd på flere bestemmelser i personvernforordningen. Vi har nå vurdert Sats sine merknader og sendt vedtak der vi opprettholder det varslede gebyret."
Ulovlig deling av personopplysninger gjennom sporingspiksler hos seks nettsteder
"Vi har gjennomført tilsyn med seks nettsteders bruk av sporingspiksler. Alle delte besøkendes personopplysninger med tredjeparter ulovlig, og i flere av sakene var det snakk om beskyttelsesverdige opplysninger. I en av sakene ila vi et overtredelsesgebyr på 250 000 kroner."
Eksempel på brevkontroll fra Datatilsynet
Hvordan vil du få GDPR på plass i din virksomhet?
Gjør det selv med Excel
Kontakt en advokat og få hjelp
Bruk Adminkit
Innhold og pakker
Skreddersøm
Mulighet for skreddersøm av behandlingsprotokoll
Book en demo
Jan Bredo Pettersen
Pål Reinert Bredvei
Tom Bülow-Kristiansen
Alt du trenger for å holde orden på personaloppgaver, kontrakter og GDPR – på ett sted, for hele virksomheten.
Ingenting skal ta mer enn 5 minutter.
Adminkit © 2026
Alle rettigheter forbeholdt