Når har vi meldeplikt til Datatilsynet?

Hovedregelen er at et personvernbrudd skal meldes til Datatilsynet med mindre det er usannsynlig at bruddet medfører en risiko for de berørtes rettigheter og friheter. Terskelen er lav, så de fleste reelle brudd skal meldes. Velger dere å la være, må dere kunne dokumentere hvorfor risikoen er usannsynlig.

Hvor lang er fristen, og når starter den?

Fristen er uten ugrunnet opphold og senest 72 timer etter at dere ble kjent med bruddet, ikke fra da bruddet oppsto. Fristen løper sammenhengende, også i helger. Skjedde bruddet hos en databehandler, starter deres frist når databehandleren varsler dere.

Hva er forskjellen på meldeplikt (art. 33) og varslingsplikt (art. 34)?

Meldeplikt til Datatilsynet etter art. 33 utløses ved sannsynlig risiko, altså lav terskel. Varslingsplikt til de berørte etter art. 34 utløses først ved høy risiko, altså høyere terskel. De to pliktene må vurderes hver for seg.

Vi er databehandler - skal vi melde til Datatilsynet?

Nei. En databehandler har ingen selvstendig meldeplikt til Datatilsynet. Plikten er å varsle den behandlingsansvarlige uten ugrunnet opphold (art. 33 nr. 2) og gi tilstrekkelig informasjon til at denne kan melde. Sjekk databehandleravtalen (art. 28) for avtalt varslingsfrist.

Hva gjør vi hvis vi ikke har all informasjon innen 72 timer?

Da kan dere sende en foreløpig melding innen fristen og opplyse om at informasjon ettersendes (art. 33 nr. 4). Vent ikke på full oversikt, det er bedre å melde trinnvis enn å oversitte fristen.

Hva skjer hvis vi melder for sent?

En forsinket melding er fortsatt lovlig dersom den ledsages av en begrunnelse for forsinkelsen. Manglende eller forsinket melding kan likevel medføre overtredelsesgebyr, så fristen bør tas på alvor.

Må vi gjøre noe selv om bruddet ikke skal meldes?

Ja. Alle personvernbrudd skal loggføres internt (art. 33 nr. 5), også de som ikke meldes. Den interne protokollen er grunnlaget for å vise etterlevelse ved et tilsyn.

Er fødselsnummer en særlig kategori etter GDPR?

Nei. Fødsels- og personnummer er ikke en særlig kategori etter art. 9, men reguleres av personopplysningsloven § 12. Det er likevel svært sensitivt med høy risiko for identitetstyveri.

Lagrer verktøyet opplysningene våre noe sted?

Nei. Verktøyet kjører i din egen nettleser, og ingen opplysninger sendes til Internkontroll AS eller noen server. Alt lagres kun lokalt på din enhet og kan tas vare på som PDF eller datafil.

Meldeplikt Datatilsynet 2026 – må bruddet meldes?

Meldeplikt Datatilsynet 2026 – avgjør om personvernbruddet må meldes

Lurer du på om dere har meldeplikt Datatilsynet – altså plikt til å melde et personvernbrudd til Datatilsynet? GDPR-Avviks-Sjekken™ PRO leder deg gjennom en strukturert vurdering etter personvernforordningen art. 33 og 34, og gir et klart svar: skal bruddet meldes til Datatilsynet, skal de berørte varsles – og når starter 72-timersfristen. Verktøyet skiller mellom behandlingsansvarlig og databehandler, håndterer mangelfull informasjon med foreløpig melding, og leverer en arkivklar PDF-rapport med ferdig meldingsutkast. Bygget for daglige ledere, personvernombud og internkontrollansvarlige i norske virksomheter – ikke en generell regelgjennomgang, men et operativt beslutningsverktøy for selve krisen. Gratis, kvalitetssikret for 2026, ingen registrering.

Start verktøyet

GDPR-Avviks-Sjekken™ PRO – avgjør meldeplikt og varslingsplikt + arkivklar PDF med ferdig meldingsutkast. Få minutter, ingen registrering.

Åpne verktøyet →

Meldeplikt Datatilsynet 2026 – det viktigste i ett oppslag

Frist: meld uten ugrunnet opphold og senest innen 72 timer fra dere ble kjent med bruddet (art. 33 nr. 1).
Hovedregel: meld – med mindre det er usannsynlig at bruddet medfører risiko for de berørte. Avståelse må begrunnes og dokumenteres.
To plikter: meldeplikt til Datatilsynet (art. 33) og varslingsplikt til de registrerte ved høy risiko (art. 34).
Databehandler: melder ikke til Datatilsynet, men varsler behandlingsansvarlig uten ugrunnet opphold (art. 33 nr. 2).
Mangelfull informasjon: send foreløpig melding innen fristen og suppler trinnvis (art. 33 nr. 4).
Uansett utfall: alle brudd skal loggføres internt (art. 33 nr. 5) – også de som ikke meldes.
Personnummer: ikke «særlig kategori» etter art. 9, men regulert av personopplysningsloven § 12.

Kort fortalt for daglig leder

Hva: Et verktøy som avgjør om et personvernbrudd utløser meldeplikt til Datatilsynet og varslingsplikt til de berørte.
For hvem: Daglig leder, personvernombud, internkontrollansvarlig og styret i SMB og kommune.
Tidsbruk: Få minutter fra hendelse til ferdig konklusjon.
Sluttprodukt: Arkivklar PDF-rapport med ja/nei per plikt, begrunnelse, 72-timersfrist og ferdig meldingsutkast – klar for revisjon eller tilsyn.
Hva skiller dette fra en vanlig veileder: Veiledere forklarer reglene; dette verktøyet tar selve beslutningen og dokumenterer den. Det reduserer faren for å handle feil under tidspress.
Pris: Gratis, ingen registrering, ingen påmelding. All data forblir lokalt i din nettleser.

Hva er meldeplikt Datatilsynet – og hva mange overser

Når en virksomhet oppdager et brudd på personopplysningssikkerheten, er hovedregelen klar: bruddet skal meldes til Datatilsynet. Meldeplikt Datatilsynet inntrer med mindre det er usannsynlig at bruddet medfører en risiko for de berørte personenes rettigheter og friheter. I praksis betyr den lave terskelen at de fleste reelle personvernbrudd skal meldes – og at det er virksomheten selv som må kunne dokumentere det dersom den velger å la være.

Det mange overser er at vurderingen er sammensatt. For det første må man avklare om hendelsen i det hele tatt er et personvernbrudd etter art. 4 nr. 12 – altså et sikkerhetsbrudd som rammer personopplysninger, ikke bare et driftsavvik. For det andre må man skille mellom to ulike plikter med ulik terskel: meldeplikt til Datatilsynet og varslingsplikt til de berørte. For det tredje avhenger ansvaret av hvilken rolle virksomheten har – behandlingsansvarlig eller databehandler. GDPR-Avviks-Sjekken™ PRO er bygget for nettopp denne sammensatte vurderingen, og leder deg gjennom den steg for steg slik at konklusjonen blir både korrekt og dokumentert.

Start GDPR-Avviks-Sjekken™ PRO

Få minutter. Ingen registrering. Arkivklar PDF.

Start verktøyet →

72-timersfristen – når begynner den å løpe?

Fristen for å melde til Datatilsynet er «uten ugrunnet opphold og om mulig senest 72 timer» etter at den behandlingsansvarlige ble kjent med bruddet. Det avgjørende ordet er kjent: fristen starter ikke da bruddet teknisk oppsto, men da virksomheten faktisk fikk kunnskap om det. Det betyr at klokken kan begynne å løpe en stund etter selve hendelsen – for eksempel når en logg gjennomgås eller en ansatt melder fra.

Fristen løper sammenhengende, også gjennom helger og helligdager. Skjedde bruddet hos en leverandør, starter virksomhetens egen frist når leverandøren varsler den. Verktøyet ber derfor eksplisitt om tidspunktet dere ble kjent med bruddet, og starter en 72-timers nedtelling slik at fristen blir synlig og styrende gjennom hele vurderingen.

Meldeplikt Datatilsynet og varslingsplikt til de berørte (art. 33 og 34)

De to pliktene har ulik terskel, og det er en vanlig feil å slå dem sammen. Meldeplikt Datatilsynet etter art. 33 utløses allerede ved en sannsynlig risiko – terskelen er lav. Varslingsplikt til de registrerte etter art. 34 utløses først ved høy risiko – terskelen er høyere.

Fjerner kryptering meldeplikt Datatilsynet?

Kryptering illustrerer forskjellen godt. Var de berørte dataene kryptert med en nøkkel som ikke er kompromittert, kan virksomheten etter art. 34 nr. 3 slippe å varsle de registrerte – opplysningene er da i praksis uforståelige for uvedkommende. Men kryptering fjerner som hovedregel ikke meldeplikten til Datatilsynet. Verktøyet behandler derfor de to pliktene hver for seg og gir et eget ja/nei for hver, med korrekt effekt av kryptering.

Lovgrunnlag: Personvernforordningen art. 33 – melding til tilsynsmyndigheten, og art. 34 – informasjon til den registrerte.

Hvem melder? Behandlingsansvarlig vs. databehandler (art. 33 nr. 2)

Reglene avgjøres ikke bare av hva som skjedde, men av hvem dere er i behandlingen. En behandlingsansvarlig er den som bestemmer formål og midler, og det er denne som melder til Datatilsynet. En databehandler behandler personopplysninger på vegne av en annen, og har ingen selvstendig meldeplikt til Datatilsynet – plikten er å varsle den behandlingsansvarlige uten ugrunnet opphold, slik at denne kan oppfylle sin meldeplikt.

Skjedde bruddet hos en av deres egne leverandører, er dere fortsatt behandlingsansvarlig og skal melde – men dere er avhengige av at databehandleren varsler dere og gir tilstrekkelig informasjon. Her er databehandleravtalen (art. 28) sentral: den bør fastsette en konkret varslingsfrist ved brudd. Verktøyet spør derfor om rollen deres og tilpasser både fristberegning og konklusjon til den.

Meldeplikt Datatilsynet som internkontroll og dokumentasjon (art. 33 nr. 5)

Selv når et brudd ikke meldes, gjelder en selvstendig plikt: alle personvernbrudd skal loggføres internt. Denne interne protokollføringen etter art. 33 nr. 5 er grunnlaget for å vise etterlevelse av ansvarlighetsprinsippet (art. 5 nr. 2) ved et tilsyn. Velger virksomheten å avstå fra å melde, må begrunnelsen for hvorfor risikoen er usannsynlig være reell og dokumentert – det holder ikke å anta at konsekvensene er små.

IS-modellen™ – instruksbasert styring – løfter håndtering av personvernbrudd fra ad hoc-reaksjon til et styringsobjekt med fast instruks. Verktøyets rapport er bygget for dette: den dokumenterer beslutningen, begrunnelsen, de utslagsgivende faktorene og fristen, slik at saken kan legges rett i avviksprotokollen. For videre arbeid kan vurderingen kobles til avviksbehandlingen og til revisjon av personverninstruksene.

Slik bruker du verktøyet – fem trinn og en arkivklar rapport

Verktøyet leder deg gjennom vurderingen i fem trinn, og samler fakta før det konkluderer.

Trinn 1 – Oppsett og rolle: ansvarlig, virksomhet, rolle (behandlingsansvarlig eller databehandler) og tidspunktet dere ble kjent med bruddet.

Trinn 2 – Hendelse: type brudd (konfidensialitet, tilgjengelighet eller integritet) og om dataene var kryptert.

Trinn 3 – Risikovurdering: datakategori, omfang, sårbarhet og sannsynlig konsekvens for de berørte.

Trinn 4 – Konklusjon: et rolle- og pliktbasert verdikt med ja/nei for meldeplikt til Datatilsynet og varslingsplikt til de berørte, og registrering av virksomhetens beslutning.

Trinn 5 – Rapport: en arkivklar PDF med ledelsessammendrag, begrunnelse, neste-steg-sjekkliste og et ferdig meldingsutkast med feltene Datatilsynet etterspør (art. 33 nr. 3). Saken kan i tillegg eksporteres som datafil til eget avvikssystem og legges som kalenderfrist.

Klar til å starte?

Verktøyet åpner i ny side – ingen registrering, ingen påmelding.

Åpne GDPR-Avviks-Sjekken™ PRO →

Ofte stilte spørsmål om meldeplikt Datatilsynet

Når har vi meldeplikt til Datatilsynet?: Hovedregelen er at et personvernbrudd skal meldes til Datatilsynet med mindre det er usannsynlig at bruddet medfører en risiko for de berørtes rettigheter og friheter. Terskelen er lav, så de fleste reelle brudd skal meldes. Velger dere å la være, må dere kunne dokumentere hvorfor risikoen er usannsynlig.
Hvor lang er fristen, og når starter den?: Fristen er uten ugrunnet opphold og senest 72 timer etter at dere ble kjent med bruddet – ikke fra da bruddet oppsto. Fristen løper sammenhengende, også i helger. Skjedde bruddet hos en databehandler, starter deres frist når databehandleren varsler dere.
Hva er forskjellen på meldeplikt (art. 33) og varslingsplikt (art. 34)?: Meldeplikt til Datatilsynet etter art. 33 utløses ved sannsynlig risiko – lav terskel. Varslingsplikt til de berørte personene etter art. 34 utløses først ved høy risiko – høyere terskel. De to pliktene må vurderes hver for seg, og verktøyet gir et eget svar på hver.
Slipper vi meldeplikt hvis dataene var kryptert?: Kryptering med en ukompromittert nøkkel kan fjerne plikten til å varsle de registrerte (art. 34 nr. 3), fordi opplysningene da er uforståelige for uvedkommende. Men kryptering fjerner som hovedregel ikke meldeplikten til Datatilsynet. Et kryptert, men tapt datasett kan fortsatt være et tilgjengelighetsbrudd som skal meldes.
Vi er databehandler – skal vi melde til Datatilsynet?: Nei. En databehandler har ingen selvstendig meldeplikt til Datatilsynet. Plikten er å varsle den behandlingsansvarlige uten ugrunnet opphold (art. 33 nr. 2) og gi tilstrekkelig informasjon til at denne kan oppfylle sin meldeplikt. Sjekk databehandleravtalen (art. 28) for avtalt varslingsfrist.
Hva gjør vi hvis vi ikke har all informasjon innen 72 timer?: Da kan dere sende en foreløpig melding innen fristen og opplyse om at informasjon ettersendes (art. 33 nr. 4). Vent ikke på full oversikt – det er bedre å melde trinnvis enn å oversitte fristen.
Hva skjer hvis vi melder for sent?: En forsinket melding er fortsatt lovlig dersom den ledsages av en begrunnelse for forsinkelsen. Manglende eller forsinket melding kan imidlertid medføre overtredelsesgebyr, så fristen bør tas på alvor. Verktøyet fanger opp om fristen er passert og ber om en begrunnelse.
Må vi gjøre noe selv om bruddet ikke skal meldes?: Ja. Alle personvernbrudd skal loggføres internt (art. 33 nr. 5), også de som ikke meldes. Den interne protokollen er grunnlaget for å vise etterlevelse ved et tilsyn. Verktøyets rapport dekker dette dokumentasjonskravet.
Er fødselsnummer en «særlig kategori» etter GDPR?: Nei. Fødsels- og personnummer er ikke en særlig kategori etter art. 9 (som gjelder blant annet helse, biometri og etnisitet). Personnummer reguleres av den særnorske personopplysningsloven § 12. Det er likevel svært sensitivt med høy risiko for identitetstyveri, og bør behandles deretter.
Lagrer verktøyet opplysningene våre noe sted?: Nei. Verktøyet kjører i din egen nettleser, og ingen opplysninger sendes til Internkontroll AS eller noen server. Alt lagres kun lokalt på din enhet, og kan tas vare på ved å skrive ut PDF eller laste ned en datafil til eget avvikssystem.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™

Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.

Om Svein Roar → LinkedIn →

Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss

Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Om Maria → LinkedIn →

Innhold på siden

Hva er meldeplikt til Datatilsynet
72-timersfristen
Meldeplikt og varslingsplikt (art. 33 og 34)
Behandlingsansvarlig vs. databehandler
Internkontroll og dokumentasjon
Slik bruker du verktøyet
Ofte stilte spørsmål

GDPR-Avviks-Sjekken™ PRO – Meldeplikt ved personvernbrudd