GDPR og personvernordningen

GDPR står for General Data Protection Regulation, og er en europeisk forordning som ble innført i Norge fom sommeren 2018.

Denne er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, borettslag, organisasjoner og andre samler inn av personopplysninger og data.

” GDPR er lovpålagt”

Det er et krav at GDPR – ordningen skal sikre informasjon om privatpersoner, blant annet ved at du på en forståelig måte skal opplyse om hvorfor slik informasjon samles inn, hvorfor den beholdes og hvor lenge dataen skal oppbevares

Den nye lovgivningen gjelder ALLE virksomheter som behandler personopplysninger. Det er ledelsen sitt ansvar å overholde de nye pliktene, få dette implementert og følge opp dette i virksomheten med å dokumentere GDPR arbeidet. 

” GDPR er å informere og dokumentere – da først tar virksomheten personvernet på alvor”

Flere virksomheter har opprettet et eget personvernombud som sørger for at GDPR overholdes i henhold til lovverket. Dette ombudet er den som skal være bindeleddet mellom ledelsen i virksomheten, de som er registrert og Datatilsynet.

Leverandører av IT og databehandlere er virksomheter som behandler personvernopplysninger på oppdrag fra en virksomhet. De behandler personopplysninger på vegne av andre. Denne gruppen er pålagt å ha innsamlingsrutiner,  og de er ansvarlige for å varsle sin oppdragsgiver dersom det er strid i instrukser som gjelder loven. Det er virksomheten selv og den som behandler personopplysninger på vegne av virksomheten, som er ansvarlig for å få dette på plass ihht lovverket. 

Sikkerhetsbrudd i forbindelse med GDPR

Et sikkerhetsbrudd skal meldes til Datatilsynet senest 72 etter en hendelse. Personer som berøres ved sikkerhetsbrudd skal informeres dersom det er høy risiko for at opplysninger eller rettigheter kan misbrukes.

Et sikkerhetsbrudd kan forekomme dersom:

– Virksomheten ikke har fullstendig oversikt over behandling av personopplysninger.

– Ikke autoriserte personer får tilgang til personopplysninger.


– At en ansatt bevisst, eller ubevisst, videresender informasjon som er av sensitiv art.


– At du eller en ansatt blir frastjålet, mister eller har forlagt en telefon, PC, minnepenn, ansattperm eller en klientperm som inneholder sensitive personopplysninger.


– Hackerangep / 
dataangrep som gjør at opplysninger kommer på avveie.

– At det mangler Databehandleravtale.

– Å kaste eller kvitte seg med personopplysninger uten at disse makuleres eller slettes.

” Mange virksomheter har ikke kontroll på GDPR”

Sanksjoner og bøter for å unnlate GDPR arbeid i virksomheten

Det er på langt nær alle virksomheter som har gjennomført de nye kravene i personvernordningen. Man skal derfor være klar over at brudd på regelverket kan gi store konsekvenser i form av sanksjoner og bøter. Ikke minst så må man tenke på virksomhetens renommè og tillit dersom personopplysninger kommer på avveie. Man kan ikke la være å følge eller å bryte lovverket når man har et ansvar for å forvalte personopplysninger om ansatte, kunder, samarbeidspartnere og andre. 

Kontakt oss for bistand rundt GDPR.