GDPR for norske bedrifter — hva må være på plass på nettsiden?

Hva må en norsk bedrift faktisk ha på plass for personvern på nettsiden? En praktisk gjennomgang av cookies, samtykke, databehandleravtale og datalagring.

Av Lars Henrik Netland

Sist oppdatert: 15. juni 2026

Personvern oppleves ofte som noe stort selskaper må forholde seg til, mens små bedrifter kan se den andre veien. Det stemmer ikke. Samler du inn personopplysninger via nettsiden — og det gjør de fleste, ofte uten å tenke over det — er du omfattet av reglene. Den gode nyheten er at det ikke er så komplisert som det høres ut, så lenge du tar noen grunnleggende ting bevisst.

Hva GDPR egentlig handler om

GDPR er ikke byråkrati for byråkratiets skyld. Kjernen er enkel: personopplysninger tilhører personen de handler om, ikke den som samler dem inn. Som bedrift låner du dem til et tydelig formål, og du har et ansvar for å behandle dem trygt og åpent. Tenker du på det slik, blir de fleste konkrete kravene logiske.

Det vanligste på en nettside

Du samler sannsynligvis inn mer enn du tror:

  • Kontaktskjema — navn, e-post, telefonnummer, og det folk skriver i meldingsfeltet
  • Analyseverktøy — IP-adresse og atferdsdata om de besøkende
  • Informasjonskapsler (cookies) — som husker innstillinger eller sporer besøk
  • Nyhetsbrev — e-postadresser og samtykke til å bli kontaktet

Hver av disse er personopplysninger i en eller annen form, og hver krever at du har tenkt gjennom hvorfor du samler dem og hva som skjer med dem.

Samtykke og cookies

Hovedregelen er at ikke-nødvendige informasjonskapsler og sporing — typisk analyse og markedsføring — krever aktivt samtykke før de lastes. Ikke en forhåndskrysset boks, ikke «ved å bruke siden godtar du», men et reelt valg den besøkende tar.

I praksis betyr det at analyseverktøy ikke skal kjøre i det hele tatt før noen har sagt ja. En side som laster sporing før samtykke, er ikke i tråd med reglene, uansett hvor pent samtykkebanneret er.

Databehandleravtale

I det øyeblikket du bruker en tredjepart til å behandle data på dine vegne — hostingleverandør, e-posttjeneste, analyseverktøy — trenger du en databehandleravtale med dem. Det er en avtale som regulerer hva de har lov til å gjøre med dataene. Mange glemmer dette fordi tjenestene «bare fungerer», men ansvaret for dataene blir hos deg.

Hvor lagres dataene

Dette er det punktet flest overser, og det er et reelt valg. Lagres dataene innenfor EU/EØS, eller sendes de til servere i andre land med svakere personvern? Overføring ut av EØS er ikke forbudt, men det stiller egne krav. For mange bedrifter er det enkleste og tryggeste å sørge for at data blir innenfor EØS fra start — det fjerner en hel kategori med spørsmål du ellers må kunne svare på.

Det handler om tillit, ikke bare lov

Det er lett å se på personvern som en boks som skal krysses av. Men måten du behandler folks data på, er et synlig tillitssignal. En bedrift som er ryddig med personvern, forteller kundene at den er ryddig med ting den ikke ser heller. Det er billig markedsføring for noe du uansett må gjøre.

En liten presisering til slutt: dette er en generell oversikt, ikke juridisk rådgivning. Er du i tvil om din konkrete situasjon, bør du sjekke med noen som kan regelverket i detalj. Men har du de fem tingene over på plass — bevisst formål, riktig samtykke, databehandleravtaler, kontroll på hvor data lagres, og åpenhet om det hele — er du langt foran de fleste.