Bakgrunnssjekk: Juridisk guide, GDPR og styreansvar

1. Hva er bakgrunnssjekk – og hva er det ikke?

Bakgrunnssjekk – også kalt bakgrunnsundersøkelse – er en systematisk innhenting av informasjon om en kandidat eller ansatt utover det vedkommende selv har oppgitt. Det finnes ingen lovfestet definisjon, men i praksis omfatter begrepet alt fra enkel referansesjekk til omfattende personkontroll under sikkerhetsloven.

Bakgrunnssjekk er ikke det samme som rekruttering. Du ser på CV-en, sjekker oppgitte referanser, og kanskje verifiserer utdanning – det er normal rekrutteringspraksis. Bakgrunnssjekken starter når du innhenter opplysninger som kandidaten ikke selv har lagt frem: kredittvurdering, vandelsinformasjon, søk i offentlige registre, eller mer omfattende undersøkelser via tredjepartsleverandør.

Det er bakgrunnssjekk:

• Kredittvurdering hos kredittopplysningsforetak
• Politiattest etter særlovshjemmel
• Sikkerhetsklarering etter sikkerhetsloven
• Søk i offentlige registre (Brønnøysundregistrene, Konkursregisteret)
• Verifisering av utdanning hos utdanningsinstitusjon
• Sjekk hos eksterne bakgrunnsleverandører (f.eks. Semac, Meditor)
• Innhenting av referanser utover de kandidaten selv har oppgitt

Det er normalt ikke bakgrunnssjekk:

• Samtaler med oppgitte referanser
• Lesing av CV og søknad
• Ordinær jobbintervju
• Tester og vurderinger der kandidaten aktivt deltar

Skillet er viktig fordi bakgrunnssjekk utløser dokumentasjons- og informasjonsplikter under GDPR som ordinær rekruttering ikke gjør i samme grad.

2. Bakgrunnssjekk er behandling av personopplysninger

Dette er den viktigste setningen i hele guiden – og den som flest virksomheter overser: Så snart du innhenter, lagrer eller bruker informasjon om en navngitt person, behandler du personopplysninger. Da gjelder GDPR. Punktum.

Hva er en personopplysning?

Personopplysning er enhver informasjon som direkte eller indirekte kan knyttes til en identifiserbar person. Navn, fødselsdato og adresse er åpenbare. Men også IP-adresse, lokasjonsdata, en bilde, et politisk innlegg på Facebook, eller en notis i et internt system – alt dette er personopplysninger så lenge det kan kobles til en person.

Sensitive personopplysninger (særlige kategorier)

GDPR artikkel 9 oppstiller en strengere kategori: opplysninger om helse, etnisitet, religion, politisk oppfatning, fagforeningsmedlemskap, seksuell legning og biometriske data. Disse kan som hovedregel ikke behandles overhodet i en ansettelsesprosess – og dukker de opp ved et tilfelle, må de ikke registreres eller brukes i beslutningen.

Skillet mellom ansatte og tillitsverv

GDPR gjelder også for styremedlemmer, men praksisen er ulik. For ansatte er rekrutteringsprosessen typisk strukturert, mens styreverv ofte fylles på mer uformell måte. Likevel: hvis du innhenter opplysninger om en kandidat til et styreverv – også «bare for å være trygg» – så er det behandling av personopplysninger som krever rettslig grunnlag.

3. Når er bakgrunnssjekk lovlig? Rettslig grunnlag etter GDPR

For å gjennomføre en lovlig bakgrunnssjekk må du ha et gyldig behandlingsgrunnlag etter GDPR artikkel 6 nr. 1. Tre alternativer er aktuelle:

Behandlingsgrunnlag	Når kan det brukes?	Krav
Berettiget interesse (bokstav f)	Det vanligste grunnlaget for arbeidsgivere. Brukes når virksomheten har et reelt behov for å verifisere kandidatens egnethet.	Krever interesseavveining: arbeidsgivers behov må veie tyngre enn arbeidssøkerens personvern. Må dokumenteres.
Gjennomføring av avtale (bokstav b)	Tiltak som skjer på den registrertes anmodning før en avtaleinngåelse – f.eks. behandling av søknad og oppfølgende vurderinger.	Behandlingen må være nødvendig for å oppfylle eller forberede avtaleinngåelsen.
Samtykke (bokstav a)	Sjelden egnet i ansettelsesforhold på grunn av maktforholdet mellom arbeidsgiver og arbeidssøker.	Må være frivillig, spesifikt, informert og utvetydig. EU-domstolen har klargjort at frivillighetskravet ikke er oppfylt dersom personen ikke kan nekte uten skade.

For sensitive personopplysninger (artikkel 9) må det i tillegg foreligge særskilt grunnlag – typisk uttrykkelig samtykke eller særlig lovhjemmel. I praksis betyr dette at sensitive personopplysninger nesten aldri kan behandles i en ordinær bakgrunnssjekk.

4. Hva er lov – og hva er ikke lov?

Dette er kjernespørsmålet for alle ledere som vurderer bakgrunnssjekk. Det korte svaret: lovligheten avhenger av hvilken type opplysning, hvilken stilling, og om det foreligger saklig grunn. Her er oversikten:

✅ Typisk lovlig	❌ Typisk ulovlig eller risikabelt
Samtaler med oppgitte referanser om relevante forhold	Skjulte referansesamtaler – kontakt med personer kandidaten ikke har oppgitt, uten å si fra
Verifisering av utdanning hos utstedende institusjon	Google-søk lagret i personalmappe uten rettslig grunnlag
Politiattest når lov eller forskrift gir hjemmel	«Egenerklæring om vandel» – arbeidsgiver kan ikke be om dette uten lovhjemmel
Kredittsjekk for stillinger med betydelig økonomisk ansvar	Kredittsjekk for kassemedarbeider, lager- eller produksjonsarbeider
Søk i offentlige registre når det er saklig begrunnet	Sjekk av familiemedlemmer, ektefelle eller venner
Sikkerhetsklarering etter sikkerhetsloven for klassifiserte stillinger	«Forebyggende» bakgrunnssjekk av alle ansatte uten konkret risiko
Verifisering av yrkesmessig erfaring hos tidligere arbeidsgivere	Sosial medie-screening uten samtykke og uten saklig grunn
Bakgrunnssjekk avgrenset til kandidater som er aktuelle i sluttfasen	Innhenting av helseopplysninger utover det stillingen krever

5. Proporsjonalitetsprinsippet: tre nivåer av sjekk

Det største juridiske og praktiske misforholdet i norsk rekruttering er at samme bakgrunnssjekk brukes på alle stillinger. Det bryter med proporsjonalitetsprinsippet i GDPR artikkel 5: opplysningene som behandles, skal være «adekvate, relevante og begrenset til det som er nødvendig».

Løsningen er en risikobasert tilnærming der bakgrunnssjekken differensieres etter stillingens reelle risikoprofil. Tre nivåer er en god struktur:

Nivå 1 – Standard (de fleste stillinger)

• Verifisering av identitet og oppgitt utdanning
• Samtaler med oppgitte referanser
• Søk i offentlige registre dersom relevant for stillingen (f.eks. konkurs ved lederstillinger)

Egnet for: De fleste ordinære stillinger uten særskilt risiko.

Nivå 2 – Utvidet (stillinger med forhøyet risiko)

• Alt fra nivå 1
• Kredittvurdering ved «saklig grunn» (typisk økonomisk ansvar)
• Politiattest dersom lov eller forskrift gir hjemmel
• Eventuell ekstern bakgrunnsleverandør med dokumentert databehandleravtale

Egnet for: Lederstillinger, stillinger med tilgang til verdier eller sensitive systemer, helsestillinger med pasientkontakt, stillinger i finans.

Nivå 3 – Sikkerhetsklarering (kritiske stillinger)

• Sikkerhetsklarering etter sikkerhetsloven av 2018
• Personkontroll gjennomført av Sivil klareringsmyndighet (SKM) eller FSA
• Krever klareringsforespørsel fra autorisasjonsansvarlig hos arbeidsgiver
• Klareringsnivå: KONFIDENSIELT, HEMMELIG, STRENGT HEMMELIG

Egnet for: Stillinger med tilgang til sikkerhetsgradert informasjon eller virksomhet underlagt sikkerhetsloven.

Hvilket nivå som passer for hvilken stilling, må avgjøres gjennom en dokumentert risikovurdering. Dette er ikke valgfritt – det er en forutsetning for å oppfylle proporsjonalitetsprinsippet.

6. Sosiale medier og «cybervetting» – risikabel praksis

«Vi pleier å sjekke kandidatene på Facebook og LinkedIn» – det er nok den vanligste setningen i norske rekrutteringsprosesser. Det er også den setningen som oftest ender med GDPR-brudd.

Når er sosiale medier-sjekk lovlig?

Sjekk av åpent tilgjengelige profiler kan være lovlig, men forutsetter:

• Saklig grunn knyttet til stillingen (ikke generell nysgjerrighet)
• Begrensning til informasjon som er relevant for arbeidsforholdet
• Informasjon til kandidaten om at slik sjekk gjøres
• Dokumentasjon av hva som ble funnet og hvordan det vurderes
• Sletting av irrelevant informasjon

Når er det åpenbart ulovlig?

• Systematisk gjennomgang av private profiler
• Lagring av skjermdumper i personalmappe
• Beslutninger basert på politisk oppfatning, religion, seksualitet eller helse
• Bruk av falske profiler for å få tilgang til lukkede grupper
• Sjekk av venner, familie eller nettverk på sosiale medier

7. Politiattest, kredittsjekk og sikkerhetsklarering

Disse tre er de mest formaliserte – og dermed minst skjønnsmessige – formene for bakgrunnssjekk.

Politiattest (vandelsattest)

Politiregisterloven § 36 fastslår at vandelskontroll kun kan gjennomføres når det følger av lov eller forskrift. Dette er sentral lærdom: arbeidsgiver kan ikke kreve politiattest «for å være trygg». Det må finnes en konkret hjemmel – og over hundre slike hjemler finnes for ulike sektorer:

• Helsepersonelloven § 20a (helsetjenester til barn og personer med utviklingshemming)
• Barnehageloven § 30
• Opplæringsloven § 17-11
• Vaktvirksomhetsloven § 8
• Finansforetaksloven, eiendomsmeglerloven, m.fl.

Like viktig: arbeidsgiver kan heller ikke be om egenerklæring om vandel uten lovhjemmel. Praksis med å be søkere bekrefte «at jeg ikke har noe negativt registrert om min vandel» er ikke tillatt.

Oppbevaring: Politiattest skal oppbevares utilgjengelig for uvedkommende, og kan ikke oppbevares lenger enn nødvendig – aldri lenger enn til ansettelsesforholdet opphører, jf. politiregisterforskriften § 37-2.

Kredittsjekk

Kredittvurdering er den vanligste formen for «aktiv» bakgrunnssjekk – og den der Datatilsynet oftest har grepet inn. Vilkåret er «saklig grunn», og Datatilsynet har gitt klare føringer:

• Stillingen må ha en høyere funksjon eller stort økonomisk ansvar
• Det må være klar sammenheng mellom stillingen og kandidatens privatøkonomi
• Kredittsjekk skal kun gjøres på kandidater som er aktuelle i sluttfasen
• Den kredittsjekkede skal motta gjenpartsbrev som informerer om sjekken

Konkret eksempel fra Datatilsynet: økonomidirektør med fullmakt til å foreta økonomiske transaksjoner – akseptabelt. Kassemedarbeider i dagligvarehandel – ikke akseptabelt.

Sikkerhetsklarering

Sikkerhetsklarering er en omfattende vurdering av om en person er egnet til å håndtere sikkerhetsgradert informasjon, jf. sikkerhetsloven § 8-10. Prosessen:

• Kandidaten fyller ut personopplysningsblankett
• Sivil klareringsmyndighet (SKM) gjennomfører personkontroll
• Opplysninger hentes fra politiet, PST, kredittselskaper, folkeregisteret m.m.
• For nivå HEMMELIG og høyere innhentes også opplysninger om nærstående
• Klareringen er gyldig i inntil fem år

Sikkerhetsklarering er en separat juridisk prosess – ikke noe arbeidsgiver gjennomfører selv.

8. Når samtykke IKKE er gyldig grunnlag

Det vanligste juridiske misforholdet i norsk arbeidsliv er troen på at «hvis kandidaten samtykker, så er det greit». Dette stemmer som hovedregel ikke.

Det betyr at samtykke i de fleste tilfeller ikke kan brukes som behandlingsgrunnlag for bakgrunnssjekk. Du må i stedet bygge på berettiget interesse eller gjennomføring av avtale – og dokumentere interesseavveiningen.

Når kan samtykke likevel fungere?

• Når kandidaten har en reell mulighet til å nekte uten konsekvens
• For særlig inngripende undersøkelser der lovhjemmel ikke finnes
• For sensitive personopplysninger (uttrykkelig samtykke etter artikkel 9 nr. 2 bokstav a)

I praksis betyr dette at samtykke kan fungere som tilleggsgrunnlag i særlige situasjoner, men sjelden som hovedgrunnlag. Bygg ikke en bakgrunnssjekkrutine på samtykke alene.

9. Styrets og ledelsens ansvar

Dette er den minst diskuterte og mest undervurderte siden av bakgrunnssjekkproblematikken: styrets personlige ansvar for at virksomheten har lovlige rutiner.

Styrets påse-ansvar

Styret har etter aksjeloven § 6-12 ansvar for forsvarlig forvaltning av selskapet. Dette innebærer å påse at virksomheten har internkontroll som sikrer etterlevelse av regelverket – inkludert GDPR. Styret kan ikke delegere bort dette ansvaret. Daglig leder gjennomfører, men styret skal vite at det skjer.

Ledelsens operative ansvar

Daglig leder har det operative ansvaret for å etablere og dokumentere rutiner for bakgrunnssjekk – inkludert risikovurdering, instrukser, opplæring og avvikshåndtering. Personalansvar kan delegeres, men prinsippene må være forankret hos ledelsen.

HR-funksjonens ansvar

HR-funksjonen har den faktiske gjennomføringen. Det betyr ansvar for å:

• Følge etablerte rutiner
• Sikre rettslig grunnlag for hver enkelt sjekk
• Dokumentere vurderinger og beslutninger
• Informere kandidater om hva som gjøres
• Slette opplysninger når formålet er oppfylt

10. Hva styret kan holdes ansvarlig for

Bakgrunnssjekk uten rutiner er et internkontrollbrudd – og styret bærer ansvaret. Konkret kan styret holdes ansvarlig for følgende forhold knyttet til bakgrunnssjekk:

Forhold	Type ansvar	Konsekvens
Manglende rutiner og instrukser	Selskapsrettslig (aksjeloven § 6-12)	Erstatningsansvar dersom mangelen forårsaker skade
Ulovlig innhenting av opplysninger	Personvernrettslig	Overtredelsesgebyr opp til 20 millioner euro / 4 % av omsetning
Manglende risikovurdering (DPIA der dette kreves)	Personvernrettslig	Pålegg fra Datatilsynet, gebyr
Diskriminering basert på opplysninger som ikke skulle vært innhentet	Likestillingsrettslig (LDL §§ 29 og 30)	Erstatning til den diskriminerte, omdømmeskade
Brudd på taushetsplikt og lagring	Personvernrettslig	Avviksmelding, gebyr, erstatning
Grov uaktsomhet eller forsett	Strafferettslig	Bøter, i sjeldne grove tilfeller fengsel

Omdømmerisikoen er ofte den største praktiske konsekvensen: en sak om ulovlig bakgrunnssjekk i media kan skade tilliten både hos kunder, ansatte og samarbeidspartnere – langt ut over det formelle gebyret.

11. Slik gjennomfører du en lovlig bakgrunnssjekk – 7 steg

Hvis du skal sikre at bakgrunnssjekken holder juridisk vann, følger du disse syv stegene. Hvert steg skal kunne dokumenteres dersom Datatilsynet ber om det:

Dette er ikke teori – det er den faktiske rekkefølgen tilsynet og domstolene vurderer mot. En rutine som dekker alle syv steg er en velbygget rutine.

12. Bakgrunnssjekk og internkontroll

Ingen rutine fungerer uten styringsmessig forankring. Internkontrollforskriften § 5 stiller krav om at virksomheten skal ha systematikk, dokumentasjon og kontinuerlig forbedring. Bakgrunnssjekk hører inn under personvernsporet i internkontrollsystemet, men har grenseflater til både HR, sikkerhet og styringssystemet generelt.

Konkret forankring i internkontrollen

• Policy/instruks for bakgrunnssjekk – godkjent på riktig nivå (typisk styre eller daglig leder).
• Rutine som beskriver hvem som gjør hva, når, og med hvilken dokumentasjon.
• Risikovurdering som differensierer stillinger på de tre nivåene (Standard / Utvidet / Sikkerhetsklarering).
• Sjekklister for hvert nivå.
• Avvikssystem som fanger opp brudd på rutinen og trekker lærdom.
• Periodisk revisjon – minst én gang per år, og oftere ved organisasjonsendringer eller regelverksendringer.
• Opplæring for alle som rekrutterer.

Når bakgrunnssjekkene er forankret slik, blir tilsynsdokumentasjon en naturlig del av det daglige arbeidet – ikke en ekstra arbeidsoppgave når Datatilsynet banker på.

13. Eksterne leverandører – ansvar og databehandleravtale

Mange virksomheter bruker eksterne leverandører som Semac, Meditor eller tilsvarende for å gjennomføre bakgrunnssjekk. Det er fullt lovlig – men ansvaret blir ikke borte.

Hvem er behandlingsansvarlig?

Arbeidsgiver er behandlingsansvarlig – også når en ekstern leverandør utfører selve sjekken. Det betyr at arbeidsgiver bærer ansvaret for at sjekken er lovlig, og at behandlingsgrunnlaget er på plass.

Krav til databehandleravtale

GDPR artikkel 28 krever skriftlig databehandleravtale mellom arbeidsgiver og leverandøren. Avtalen skal som minimum regulere:

• Behandlingens art, formål og varighet
• Type personopplysninger og kategorier av registrerte
• Leverandørens plikter (taushetsplikt, sikkerhetstiltak, varsling ved brudd)
• Bruk av underleverandører
• Sletting eller tilbakelevering av opplysninger ved avslutning
• Bistand ved henvendelser fra registrerte

Praktiske kontrollpunkter

• Sjekk at leverandøren har dokumentert hvilke kilder som brukes
• Sikre at leverandøren ikke utvider sjekken på eget initiativ
• Avklar hvor data lagres – overføring til land utenfor EØS krever særskilt grunnlag
• Krev årlig oppfølging og dokumentasjon av at avtalen etterleves

14. Lagring, sletting og dokumentasjon

Et av de hyppigste tilsynsfunnene er at virksomheter oppbevarer for mye, for lenge. Prinsippet er enkelt: opplysninger skal slettes så snart formålet er oppfylt.

Hovedregler for lagring

Type opplysning	Lagringstid	Hjemmel/begrunnelse
Søknader fra ikke-ansatte kandidater	Slettes etter ansettelsesprosessen, normalt 6–12 måneder	GDPR artikkel 5 (lagringsbegrensning)
Bakgrunnssjekkrapporter (eksterne)	Slettes når ansettelsesbeslutningen er tatt	Formålet oppfylt
Politiattest	Til vedkommende slutter i stillingen, deretter tilintetgjøres	Politiregisterforskriften § 37-2
Kredittsjekk	Slettes når egnethetsvurderingen er gjennomført	Kraftberedskapsforskriften § 6-7 (analog anvendelse)
Dokumentasjon på at sjekk ble gjennomført	Kan oppbevares så lenge ansettelsesforholdet varer + foreldelsesfrist	Bevisformål

Hva må dokumenteres?

• Hvilken type sjekk ble gjennomført
• Når den ble gjennomført
• Hva som var rettslig grunnlag
• Hvem som autoriserte den
• Hva som ble funnet (på overordnet nivå – ikke nødvendigvis detaljer)
• Hvordan funnet ble vurdert i ansettelsesbeslutningen
• Når opplysningene ble slettet

15. Praktiske eksempler – reelle situasjoner

Teori er én ting – praksis en annen. Her er fire situasjoner som viser hvordan reglene fungerer i hverdagen:

Eksempel 1: Lederen som googlet

En leder skal ansette en prosjektleder. Før intervjuet googler hun kandidaten og finner et avisinnlegg fra studietiden om en kontroversiell sak. Hun skriver et notat: «Sterke politiske meninger – kan være krevende i kundekontakt.» Kandidaten får ikke jobben.

Hvor det går galt: Beslutningen er influert av politisk oppfatning – beskyttet kategori under GDPR artikkel 9. Det er ikke etablert rettslig grunnlag, ikke informert kandidaten, og notatet er en ulovlig behandling. Hvis kandidaten klager, har virksomheten et alvorlig problem.

Riktig fremgangsmåte: Saklig grunn må etableres før sjekk gjøres. Politisk oppfatning er som hovedregel ikke et lovlig vurderingsgrunnlag.

Eksempel 2: Kredittsjekk «for sikkerhets skyld»

En produksjonsbedrift har som standard at alle nye ansatte – også produksjonsmedarbeidere – får kredittsjekk «fordi vi har dyrt utstyr». Datatilsynet får en klage fra en kandidat som ikke fikk jobben.

Hvor det går galt: Stillingen har ikke betydelig økonomisk ansvar. Det er ikke saklig grunn for kredittsjekk. Tilsynet gir overtredelsesgebyr.

Riktig fremgangsmåte: Differensier mellom stillinger. Kredittsjekk reserveres for stillinger med faktisk økonomisk ansvar – og kun i sluttfasen.

Eksempel 3: Politiattest fra alle helsefagansatte

En privat helsetjeneste krever politiattest fra alle ansatte – inkludert administrasjon og rengjøring – «fordi vi jobber med sårbare grupper».

Hvor det går galt: Politiregisterloven § 36 krever lovhjemmel for hver gruppe. Helsepersonelloven § 20a hjemler attest for de som yter tjenester direkte til pasienter – ikke for alle ansatte i virksomheten.

Riktig fremgangsmåte: Identifiser hvilke konkrete stillinger som er omfattet av lovhjemmelen, og begrens kravet til disse.

Eksempel 4: Den «proaktive» HR-sjefen

En HR-sjef bruker LinkedIn til å kontakte personer kandidaten har jobbet med tidligere – uten at kandidaten selv har oppgitt dem som referanser. Hun mener det gir et «mer ærlig bilde».

Hvor det går galt: Skjulte referansesamtaler er problematiske under GDPR. Kandidaten har rett til å vite hvem som spør, og samtykke til prosessen. Praksisen kan utgjøre brudd på informasjonsplikten.

Riktig fremgangsmåte: Hvis du ønsker å snakke med personer utover de oppgitte referansene, informer kandidaten først og innhent samtykke.

Avsluttende vurdering

Bakgrunnssjekk er et virkemiddel som – brukt riktig – styrker virksomhetens kontroll, integritet og omdømme. Brukt feil er det en av de raskeste veiene til GDPR-brudd, omdømmetap og personlig styreansvar. Forskjellen ligger ikke i hvor mye man sjekker, men i hvor godt man kan dokumentere hvorfor man sjekker akkurat det man sjekker.

De virksomhetene som lykkes, har én ting til felles: de har en risikobasert instruks som differensierer mellom nivåer, et behandlingsgrunnlag som er dokumentert per type sjekk, og en kultur der ledere som rekrutterer vet hvor grensene går. Det er ikke avansert juss – det er anvendt forsvarlighet.

Det viktigste rådet: Hvis du ikke kan svare klart på «hvorfor sjekker vi akkurat dette?», så ikke gjør det. Det er bedre å vurdere kandidaten på grunnlag av færre opplysninger med trygt rettslig grunnlag, enn å samle inn mer med usikker hjemmel.

Forbehold: Denne artikkelen gir en generell fremstilling av regelverket per mai 2026. Konkret rådgivning forutsetter individuell vurdering. Ved tvil – kontakt Datatilsynet eller juridisk rådgiver.