Når er det nødvendig å innhente samtykke for behandling av personopplysninger?

Samtykke er nødvendig når det ikke finnes et annet rettslig grunnlag. Det må være frivillig, spesifikt, informert og utvetydig etter GDPR.

Hva innebærer en DPIA (risikovurdering av personvernkonsekvenser)?

En DPIA identifiserer og minimerer risikoer for de registrertes rettigheter. Påkrevd ved ny teknologi eller behandling som medfører høy risiko.

Hjem › Internkontroll › Personvern og GDPR

Personvern og GDPR – Lovpålagt styring, risikovurdering og databehandleransvar

Q: Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig bestemmer formålet og har overordnet ansvar. Databehandleren behandler personopplysninger på vegne av den ansvarlige etter instruks.

Q: Hvilke rettigheter har de registrerte etter GDPR?

De registrerte har rett til informasjon, innsyn, retting, sletting, begrensning, dataportabilitet og rett til å protestere mot uønsket behandling.

Q: Når inntrer meldeplikt ved personvernbrudd?

Brudd på personopplysningssikkerheten skal meldes til Datatilsynet innen 72 timer dersom bruddet medfører risiko for fysiske personers rettigheter og friheter.

GDPR er ikke et IT-spørsmål – det er et ledelsesansvar forankret i internkontrollen

Personvern og behandling av personopplysninger er ikke lenger bare et IT-spørsmål, men et sentralt ledelsesansvar. Etter innføringen av GDPR har kravene til dokumentasjon, internkontroll og risikovurdering blitt betydelig skjerpet. Et velfungerende styringssystem må sikre at virksomheten behandler personopplysninger på en lovlig, rettferdig og gjennomsiktig måte.

Forfattere: Svein Roar Holt & Maria Zahlsen – Internkontroll AS | Sist oppdatert: april 2026 | Juridisk forankring: Personopplysningsloven, GDPR art. 5, 6, 13, 24, 35

Etterlevelse av GDPR og personopplysningsloven

For å sikre etterlevelse kreves det en systematisk tilnærming til hvordan data flyter gjennom organisasjonen. Dette inkluderer:

Protokoll over behandlingsaktiviteter: Full oversikt over hvilke personopplysninger som behandles, hvorfor og med hvilket rettslig grunnlag.
Risikovurderinger (DPIA): Vurdering av personvernkonsekvenser ved bruk av ny teknologi eller omfattende behandling av data. Bruk GDPR-Avviks-Sjekken™ PRO for å sjekke meldeplikt ved personvernbrudd.
Informasjonssikkerhet: Sikre konfidensialitet, integritet og tilgjengelighet gjennom robuste IT-instrukser og tilgangsstyring.
Innebygd personvern: Sikre at personvernhensyn ivaretas helt fra planleggingsfasen av nye systemer og prosesser.

Tillit gjennom åpenhet

Godt personvernarbeid handler i stor grad om å bygge tillit hos kunder, ansatte og samarbeidspartnere. En tydelig personvernerklæring og gode rutiner for håndtering av de registrertes rettigheter er avgjørende for virksomhetens omdømme og for å unngå sanksjoner fra Datatilsynet.

Samtykke eller rettslig grunnlag

Samtykke er nødvendig når det ikke finnes et annet rettslig grunnlag for behandlingen. Samtykket må være frivillig, spesifikt, informert og utvetydig. Som alternativ til samtykke kan personopplysninger behandles dersom:

Behandlingen er nødvendig for å oppfylle en avtale med den registrerte
Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse
Behandlingen er nødvendig for å beskytte vitale interesser
Behandlingen er nødvendig for å utføre en oppgave av allmenn interesse
Behandlingen er nødvendig for å ivareta berettigede interesser, og disse veier tyngre enn hensynet til den registrertes personvern

Personopplysninger

Personopplysninger er enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person. Eksempler inkluderer navn, adresse, telefonnummer, e-postadresse, fødselsnummer, bilder, IP-adresser, lokaliseringsdata og informasjon om atferdsmønstre og arbeidsforhold.

Sensitive personopplysninger

Særlige kategorier personopplysninger som krever ekstra beskyttelse inkluderer rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs overbevisning, fagforeningsmedlemskap, helseopplysninger, seksuelle forhold, genetiske opplysninger og biometriske opplysninger. Behandling av slike opplysninger er i utgangspunktet forbudt uten et særskilt rettslig grunnlag.

Risikovurdering av personopplysningsbehandling

En systematisk risikovurdering følger disse trinnene – og bør gjennomføres med GDPR-Avviks-Sjekken™ PRO som støtteverktøy:

1. Identifiser behandlingen: Kartlegg hvilke personopplysninger som behandles, hvor de kommer fra og hvordan de brukes. Dokumenter formål og rettslig grunnlag.
2. Vurder risiko: Identifiser potensielle risikoer for de registrertes rettigheter og friheter. Vurder sannsynlighet og konsekvens, særlig for brudd på konfidensialitet, integritet og tilgjengelighet. Se Risikovurdering™ PRO for strukturert gjennomføring.
3. Implementer tiltak: Iverksett tekniske tiltak (f.eks. kryptering) og organisatoriske tiltak (f.eks. opplæring og tilgangsstyring). Revidér berørte instrukser med Instruks-Sjekken™ PRO.
4. Dokumenter og evaluer: Dokumenter risikovurderingen og iverksatte tiltak. Evaluer jevnlig og oppdater ved behov.

Behandlingsansvarlig og databehandler

Behandlingsansvarlig er den som bestemmer formålet med behandlingen og hvilke midler som skal brukes. Har det overordnede ansvaret for etterlevelse, inkludert å fastsette formål, velge rettslig grunnlag, ivareta de registrertes rettigheter, velge databehandler og inngå databehandleravtale.

Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige og handler etter instruks. Ansvar inkluderer å sikre konfidensialitet og sikkerhet, bistå behandlingsansvarlig og melde fra om brudd. Bruk GDPR-Avviks-Sjekken™ PRO for å avgjøre meldeplikt ved personvernbrudd.

Den registrertes rettigheter

Rett til informasjon: Klart og tydelig om hvordan data behandles
Rett til innsyn: Se egne opplysninger og bekrefte behandling
Rett til retting: Kreve at uriktige data korrigeres
Rett til sletting: «Retten til å bli glemt» når data ikke lenger er nødvendig
Rett til begrensning: Kreve at behandlingen begrenses i visse tilfeller
Rett til dataportabilitet: Motta data i maskinlesbart format
Rett til å protestere: Motsette seg uønsket behandling, f.eks. markedsføring
Automatiserte avgjørelser: Rett til ikke å bli gjenstand for beslutninger utelukkende basert på automatisering

Styringsdokumentasjon – nødvendige instrukser

For å imøtekomme personvernregelverket må virksomheter etablere følgende instrukser – og disse bør revideres jevnlig med Instruks-Sjekken™ PRO:

Instrukser for innsamling og behandling: Formålsbeskrivelse, rettslig grunnlag, dataminimering og informasjon til de registrerte
Instrukser for sikkerhet ved behandling: Tilgangskontroll, kryptering, sikkerhetskopiering og hendelseshåndtering
Instrukser for de registrertes rettigheter: Rutiner for innsyn, retting, sletting og dataportabilitet
Instrukser for databehandlere: Rutiner for databehandleravtale og oppfølging av leverandører
Instrukser for risikovurdering og DPIA: Hvordan og når vurderinger skal gjennomføres og dokumenteres

Personopplysningsbehandling og internkontroll

Personopplysningsarbeidet står sentralt i enhver virksomhets internkontrollarbeid og styringssystem. Dette er et krav som følger av GDPR artikkel 24 og Internkontrollforskriften.

Risikobasert tilnærming: Personvernrisikoer må integreres i virksomhetens risikostyringssystem. Se Samsvarsmatrisen™ PRO for å kartlegge juridiske gap.
Dokumentasjon og ansvarlighet: Sikre at ansvar er tydelig plassert og at nødvendig dokumentasjon er tilgjengelig
Kontinuerlig forbedring: Personvern må evalueres og forbedres jevnlig som en del av den faste styringssyklusen. Bruk Styrets Etterlevelse-Monitor™ PRO for styrets compliance-rapportering.

Øvrig relevant regelverk

Følgende regelverk kan også sette rammer for personopplysningsbehandlingen: Arbeidsmiljøloven, Forvaltningsloven, Arkivloven, Politiregisterloven, Helsepersonelloven, Pasientjournalloven og Helseregisterloven. Datasikkerhetsloven (NIS2) stiller i tillegg strengere krav til risikovurdering og hendelseshåndtering for samfunnskritiske tjenester. For virksomheter med innleide ressurser bør også Innleie-Kontroll™ PRO gjennomgås – personvernkravene gjelder også for innleid arbeidskraft.

Har din virksomhet kontroll på personvernet?

Vi bistår med å implementere nødvendige instrukser som sikrer at personvernet blir en naturlig og operativ del av styringssystemet.

KONTAKT INTERNKONTROLL AS OM PERSONVERN

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™

Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →

Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss

Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →

Personvern og GDPR – etterlevelse og internkontroll for norske virksomheter | Internkontroll AS

Personvern og GDPR – systematisk etterlevelse som del av internkontrollen | Internkontroll AS

Hva dekker denne siden?

GDPR-etterlevelse og rettslig grunnlag for behandling
Samtykke vs. andre rettslige grunnlag
Sensitive personopplysninger og særskilt vern
DPIA – risikovurdering av personvernkonsekvenser
Behandlingsansvarlig vs. databehandler
De 8 registrertes rettigheter
Nødvendige instrukser og styringsdokumentasjon

For: Daglige ledere, juridisk ansvarlige og personvernombud

Våre kjernemodeller

IS-modellen™ – instruksbasert virksomhetsstyring | Internkontroll AS

IS-modellen™ Instruksbasert styring

AvvikStandard™ – helhetlig modell for avviksstyring | Internkontroll AS

AvvikStandard™ Helhetlig avviksstyring

Fagsider og verktøy

Fagsider Internkontroll Det overordnede internkontrollrammeverket Risikostyring Personvernrisiko integrert i risikostyringen Avviksbehandling Håndtering av personvernbrudd som avvik Personvernerklæring – Internkontroll AS Vår egen personvernerklæring Verktøy i Styringsportalen → GDPR-Avviks-Sjekken™ PRO Meldeplikt ved personvernbrudd – 72-timersregelen → Risikovurdering™ PRO DPIA og risikovurdering av personopplysninger → Samsvarsmatrisen™ PRO Kartlegg juridiske gap i GDPR-etterlevelsen → Instruks-Sjekken™ PRO Revidér personverninstruksene juridisk → Styrets Etterlevelse-Monitor™ PRO GDPR-compliance rapportert til styret → Taushetsplikt- & Innsynskalkulatoren™ PRO Juridisk veileder for innsyn i personalsaker

Ofte stilte spørsmål

Når er det nødvendig å innhente samtykke?

Samtykke er nødvendig når det ikke finnes et annet rettslig grunnlag for behandlingen. Det må etter GDPR være frivillig, spesifikt, informert og utvetydig.

Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig bestemmer formålet med behandlingen og har det overordnede ansvaret. Databehandleren behandler personopplysninger på vegne av den ansvarlige og skal utelukkende handle etter instruks.

Hva innebærer en DPIA?

En DPIA er en risikovurdering av personvern som identifiserer og minimerer risikoer for de registrertes rettigheter. Den er påkrevd ved bruk av ny teknologi eller ved behandling som medfører høy risiko. Se Risikovurdering™ PRO for strukturert gjennomføring.

Når inntrer meldeplikt ved personvernbrudd?

Personvernbrudd som medfører risiko for de registrertes rettigheter skal meldes til Datatilsynet innen 72 timer. Bruk GDPR-Avviks-Sjekken™ PRO for å avgjøre om bruddet er meldepliktig.

Hvilke rettigheter har de registrerte etter GDPR?

De registrerte har rett til informasjon, innsyn i egne data, retting av uriktige opplysninger, sletting, begrensning av behandling, dataportabilitet og rett til å protestere mot uønsket behandling.

Hva er GDPR-konsekvensene ved brudd?

Datatilsynet kan ilegge bøter på opptil 20 millioner euro eller 4% av global omsetning. I tillegg kan det oppstå omdømmeskade og krav om erstatning fra de registrerte. Bruk Samsvarsmatrisen™ PRO for å kartlegge compliance-gap.

Hvem har ansvar for GDPR i virksomheten?

Daglig leder og styret har det overordnede ansvaret. Virksomheter som behandler store mengder personopplysninger plikter å utpeke et personvernombud. Styrets tilsynsplikt inkluderer GDPR – se Styrets Etterlevelse-Monitor™ PRO.

Sentrale lovhenvisninger og ressurser

Personopplysningsloven – Lovdata GDPR (EU 2016/679) – Lovdata Datatilsynet – Databehandleravtale veileder Datatilsynet – Melde personvernbrudd Begreper og definisjoner – GRC-ordliste

© 2026 Internkontroll AS | Org.nr: 933 241 475
Innholdet på denne siden er beskyttet etter åndsverkloven. Uautorisert kopiering eller kommersiell utnyttelse er forbudt.

Personvernerklæring | Kontakt oss

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →