GDPR for små bedrifter: minimumet du faktisk må ha på plass

KO
Konrad Office AS
7 min lesing
GDPR for små bedrifter: minimumet du faktisk må ha på plass

La oss få det ut av veien med en gang: nei, du trenger sannsynligvis ikke et personverndirektorat, et 80-siders dokumenthierarki eller en konsulent på timepris for å være i rute. GDPR har vært i kraft i Norge siden juli 2018, og etter snart åtte år har både Datatilsynet og bedriftene landet på en mer pragmatisk tone. Forholdsmessighet er nøkkelordet — kravene skal stå i forhold til størrelsen og risikoen i virksomheten din.

Men noe må du ha på plass. Og det er faktisk ikke så ille som ryktet tilsier.

Først: hva GDPR egentlig handler om

Bak alle paragrafene ligger en ganske enkel idé: folk skal vite hvilke opplysninger du har om dem, hva du bruker dem til, og de skal kunne be om innsyn eller sletting hvis de ønsker det. Det er det. Resten er praktiske rutiner som skal sikre at den ideen blir gjennomført i hverdagen.

Hvis du har kunder, ansatte, leverandører eller en nettside med kontaktskjema — og det har de fleste — så behandler du personopplysninger. Da gjelder GDPR for deg, uavhengig av om du er enkeltpersonforetak, AS med tre ansatte eller noe større.

Det vesentlige minimumet

Her er det du faktisk må ha. Ikke det du kunne hatt om du var et børsnotert konsern, men det Datatilsynet forventer at en helt vanlig liten norsk bedrift har orden på.

1. En behandlingsprotokoll (oversikten din)

Dette er det viktigste dokumentet i hele GDPR-arbeidet ditt. Det høres avansert ut, men er egentlig bare en liste: hvilke personopplysninger har vi, hvor ligger de, hvorfor har vi dem, og hvor lenge oppbevarer vi dem?

For en typisk småbedrift kan dette være:

  • Kundeopplysninger i fakturasystemet (navn, e-post, telefon, adresse)

  • Personalopplysninger (lønn, fravær, kontonummer)

  • Kontaktskjema fra nettsiden

  • Nyhetsbrev-abonnenter

  • Leverandørkontakter

Et regneark holder fint. Du trenger ikke et eget «behandlingsprotokoll-system». Poenget er at du selv har oversikt — og at du kan vise den frem hvis Datatilsynet ringer.

2. En personvernerklæring på nettsiden

Dette er den utadvendte versjonen av behandlingsprotokollen. Skrevet i klartekst slik at kundene dine forstår den. Den skal svare på: Hva samler dere inn? Hvorfor? Hvem deler dere det med? Hvor lenge lagrer dere det? Hvordan ber jeg om innsyn eller sletting?

Du finner gode maler gratis på nett. Skriv den i ditt eget språk — unngå advokatese. Det blir mer ærlig og mer i tråd med ånden i regelverket.

3. Databehandleravtaler med leverandørene dine

Hver gang du bruker et eksternt system som behandler personopplysninger på dine vegne — fakturasystem, regnskapssystem, e-postleverandør, CRM, skylagring — så er den leverandøren en databehandler. Og du må ha en signert databehandleravtale (ofte kalt DPA) med dem.

Den gode nyheten: alle seriøse leverandører har dette ferdig. Du logger inn, trykker «aksepter», og avtalen ligger der. Den dårlige nyheten: hvis du ikke har sjekket, har du sannsynligvis noen DPA-er som ligger usignert i et hjørne.

Sett av en kveld. Gå gjennom listen din. Få det i havn.

4. Lagringstider og sletterutiner

GDPR sier at du ikke skal oppbevare personopplysninger lenger enn nødvendig. I praksis betyr det at du må bestemme deg for hvor lenge — og så faktisk slette når tiden er ute.

Eksempler:

  • Bokføringsmateriale: 5 år (det er bokføringsloven som styrer her, ikke GDPR)

  • Inaktive kunder: 3–5 år etter siste kontakt, avhengig av bransje

  • Jobbsøkere som ikke ble ansatt: maks 12 måneder, og kun med samtykke

  • Henvendelser via kontaktskjema: 1 år

Skriv det ned. Det er hele kravet. Du må ikke ha et avansert automatisk slettesystem — du må bare ha bestemt deg og kunne vise at du faktisk gjør det.

5. Enkle rutiner for innsyn, retting og sletting

Hvis Petter ringer og spør hvilke opplysninger dere har om ham, må noen kunne svare innen rimelig tid (vanligvis innen én måned). Hvis Kari ber om å bli slettet fra nyhetsbrevet og kunderegisteret, må det skje.

Du trenger ikke et eget portal-system. Du trenger en intern rutine — en kort beskrivelse av hvem som tar imot henvendelsen, hvor de leter, og hvordan dere svarer. En halv A4-side er ofte nok.

6. En plan for det dagen noe går galt

Hvis du opplever et databrudd som utgjør risiko for personene det gjelder — for eksempel at kundelisten lekker, en laptop med personalopplysninger blir stjålet, eller noen får tilgang til e-posten din — så har du 72 timer på å varsle Datatilsynet.

Det høres dramatisk ut. Det er det også. Men 72-timers-fristen handler ikke om at du skal ha løst alt på tre dager — den handler om at du skal gi beskjed. Ha en kort rutine: hvem ringer hvem, hvilken informasjon trenger vi, hvor melder vi det inn (datatilsynet.no har et eget skjema).

7. Grunnleggende informasjonssikkerhet

Dette er det folk ofte hopper over fordi det høres «teknisk» ut. Men i praksis er det ganske rett frem for en liten bedrift:

  • Tofaktor-autentisering på alt som har det

  • Unike, sterke passord (passordbehandler er en velsignelse)

  • Tilgangsstyring — folk har bare tilgang til det de trenger

  • Backup som faktisk fungerer, og som du har testet

  • Oppdaterte systemer

Du trenger ikke en ISO 27001-sertifisering. Du trenger sunn fornuft og noen rutiner som er gode nok for risikoen i din virksomhet.

8. En årlig gjennomgang

GDPR er ikke en engangsjobb. Sett av et par timer i året — gjerne i forbindelse med årsavslutning — og gå gjennom behandlingsprotokollen, databehandleravtalene, og rutinene dine. Ting endrer seg: dere bytter systemer, ansetter folk, slutter med tjenester. Dokumentasjonen må følge med.

Hvem dette ikke er for

Vi er ærlige: dette er en oversikt for vanlige småbedrifter — håndverkere, butikker, konsulenter, små byråer, nettbutikker av rimelig størrelse, lokale tjenestebedrifter.

Hvis virksomheten din behandler det GDPR kaller særlige kategorier av personopplysninger — helseopplysninger, biometri, religiøs eller politisk overbevisning, opplysninger om barn i stort omfang — så er det andre boller. Da må du tenke mer rundt risikovurdering, eventuelt en personvernkonsekvensvurdering (DPIA), og kanskje også et personvernombud (DPO).

Det samme gjelder hvis du driver med rekrutteringssystemer som bruker AI til screening, kredittvurdering, eller andre automatiserte beslutninger som påvirker enkeltpersoner. EU AI Act trer i kraft for høyrisikosystemer fra august 2026, og der er kravene strengere.

For alle andre: det er listen over som er minimumet. Ikke mindre, men heller ikke nødvendigvis mer.

Det handler ikke om bøter — men om tillit

Du har sikkert sett medieoppslagene om millionbøter. De er reelle, men de rammer nesten alltid store aktører eller alvorlige, dokumenterte brudd på regelverket. For en liten bedrift som prøver og som har det grunnleggende på plass, er sannsynligheten for et stort gebyr svært lav. Datatilsynet bruker tiden sin på systemiske brudd, ikke på å ta småbedrifter som har glemt en linje i personvernerklæringen.

Det egentlige argumentet for å ha GDPR i orden er enklere: kundene dine forventer det. B2B-kunder spør etter databehandleravtaler. Søkere leser personvernerklæringen din. Det er en del av hvordan profesjonalitet ser ut i 2026.

En liten praktisk tanke til slutt

Mange av punktene over henger tett sammen med hvilke systemer du bruker i hverdagen. Hvis kundeopplysninger ligger spredt mellom regneark, en nettpostkasse, et separat fakturasystem og et regnskapsprogram, er det vanskelig både å holde oversikt og å rydde opp den dagen noen ber om innsyn eller sletting.

En av de vanligste samtalene vi har med kunder er nettopp dette: at de ønsker færre systemer å holde styr på, ikke flere. Når kunder, fakturaer, prosjekter og kontrakter ligger samme sted, blir behandlingsprotokollen kortere, sletterutinene enklere, og DPA-en handler om én leverandør i stedet for fem.

Det er ingen GDPR-knapp som løser alt — men færre systemer betyr mindre å holde styr på. Det er en bonus som kommer på toppen av alt det andre.

Vil du se hvordan Konrad Office samler kunder, fakturering, regnskap, prosjekter og kontrakter på ett sted? Ta en titt på konradoffice.no — vi har laget plattformen for små og mellomstore norske bedrifter som vil bruke mindre tid på systemer og mer tid på det de faktisk driver med.

Del denne artikkelen

Relaterte artikler

Klar til a effektivisere bedriften?

Prøv Konrad Office gratis og se hvordan vi kan hjelpe deg.

Ta kontakt Flere artikler

Personvernerklæring

Informasjon om hvordan Konrad Office behandler dine personopplysninger.

Introduksjon

Denne personvernerklæringen gir informasjon om hvordan og hvorfor Konrad Office AS samler inn og behandler personopplysninger. Konrad Office AS er behandlingsansvarlig for opplysninger som samles inn og behandles.

Datainnsamling og bruk

Vi samler inn og bruker dine personopplysninger for å levere tjenesten. Vi selger ikke dine data til tredjeparter.

For- og etternavn
E-postadresse
Bedriftsinformasjon
Bruksstatistikk

Dine rettigheter

Du har rett til å be om innsyn, retting eller sletting av personopplysningene vi behandler om deg. Du kan også trekke tilbake ditt samtykke når som helst ved å kontakte oss.

Informasjonskapsler

Konrad Office bruker informasjonskapsler for å huske dine innstillinger og forbedre brukeropplevelsen. Du kan velge å godta eller avvise disse i nettleserens innstillinger.

Databehandlere

Vi deler ikke dine personopplysninger med tredjeparter uten ditt samtykke, med unntak av det som er nødvendig for å levere tjenesten.

Spørsmål om personvern? Ta kontakt på post@konradoffice.no

Sist oppdatert: 25.04.2026

Vilkår for bruk av Konrad Office

Konrad Office AS · Org.nr. 937 442 262

1. Aksept og avtaleparter

Ved å registrere deg for eller bruke Konrad Office inngår du en bindende avtale med Konrad Office AS (org.nr. 937 442 262), Johan Sverdrups vei 10, 5063 Bergen (heretter «leverandøren»). «Kunden» refererer til selskapet som registreres i tjenesten, og «brukeren» til den fysiske personen som benytter systemet. Dersom du registrerer deg på vegne av et selskap, bekrefter du at du har fullmakt til å binde selskapet til disse vilkårene.

2. Tjenestebeskrivelse

Konrad Office er et skybasert forretningssystem (SaaS) som tilbyr verktøy for fakturering, regnskap, lønn, prosjektstyring, CRM, lager og tilhørende funksjoner. Tjenesten er et hjelpemiddel for bedriftsstyring og er ikke en regnskaps-, revisjons- eller rådgivningstjeneste.

3. Abonnement, priser og betaling

Tjenesten tilbys i abonnementsplaner (Basis, Pro, Premium) med ulik funksjonalitet og AI-kvote. Gjeldende priser fremgår av prissiden. Abonnementet faktureres månedlig etterskuddsvis fra Konrad Office AS. Alle priser er eksklusiv MVA (25%).

Betalingsfrist er 14 dager fra fakturadato. Ved forsinket betaling beregnes forsinkelsesrente iht. forsinkelsesrenteloven. Ved vesentlig betalingsmislighold (mer enn 30 dager) kan tilgangen begrenses inntil betaling er mottatt.

Leverandøren kan justere priser med minimum 30 dagers skriftlig varsel. Prisendringer trer i kraft fra neste fakturaperiode.

4. AI-funksjoner, brukskvote og tilleggsfakturering

Konrad Office inkluderer AI-drevne funksjoner (Konrad, Smartbilag, Cashflow Autopilot, avviksdeteksjon, prisoptimalisering, prediktiv budsjettering, årsoppgjørsassistent m.fl.) som benytter eksterne AI-tjenesteleverandører.

AI-bruk og kvote

Hver plan inkluderer en månedlig kvote for AI-forespørsler (f.eks. Basis: 100/mnd, Pro: 500/mnd, Premium: ubegrenset). Bruk utover inkludert kvote faktureres per forespørsel i henhold til gjeldende priser for planen. AI-forbruk logges per selskap og spesifiseres som egen linje på fakturaen.

AI-funksjonene er underlagt tilgjengeligheten til eksterne AI-tjenesteleverandører. Leverandøren garanterer ikke kontinuerlig tilgjengelighet av AI-funksjoner, og forbeholder seg retten til å endre AI-modeller og leverandører uten forvarsel.

5. Ansvar for regnskap, skatt og rapportering

Viktig ansvarsfraskrivelse

Konrad Office er et verktøy som hjelper deg med bokføring, fakturering, lønn og rapportering. Kunden har det fulle og hele ansvaret for korrekt regnskap, skatteberegning, MVA-rapportering, A-melding, årsregnskap og all annen lovpålagt rapportering til offentlige myndigheter.

Konrad Office AS er ikke et regnskapsbyrå, revisjonsfirma eller skatterådgiver. Leverandøren gir ingen garantier for at beregninger, forslag eller rapporter som genereres av systemet er korrekte eller fullstendige. Kunden anbefales å benytte autorisert regnskapsfører eller revisor for kvalitetssikring av regnskapet.

AI-genererte forslag (avskrivninger, avsetninger, skattemessige justeringer, periodiseringer, prisanbefalinger, budsjetteringer, kontoutdragsforklaringer og lignende) er veiledende og erstatter ikke profesjonell vurdering. Kunden er ansvarlig for å verifisere alle AI-genererte forslag før de benyttes i regnskapet.

Leverandøren er ikke ansvarlig for feil, mangler eller forsinkelser i kundens regnskap, skattemelding, MVA-oppgave, A-melding eller annen rapportering, uavhengig av om feilen skyldes bruk av systemet, AI-funksjoner eller andre forhold.

6. Data, eierskap og anonymisering

Kunden eier alle sine forretningsdata i systemet. Leverandøren har ingen rettigheter til kundens data utover det som er nødvendig for å levere tjenesten. Ved oppsigelse har kunden rett til å eksportere sine data i minimum 30 dager etter opphør.

Kunden samtykker til at anonymiserte og aggregerte data kan benyttes til: bransjesammenligninger, forbedring av AI-kontolæringsmodeller (cross-company læring), og statistiske analyser. Ingen individuelle selskaper, personer eller transaksjoner kan identifiseres fra slike data.

7. Brukerregistrering, tilgang og sikkerhet

Kunden er ansvarlig for at alle brukerkontoer har korrekte opplysninger og at passord holdes konfidensielle. Ubegrenset antall brukere er inkludert i alle planer. Tofaktorautentisering (2FA) er tilgjengelig og anbefales sterkt. Kunden er ansvarlig for all aktivitet som skjer under sine brukerkontoer.

Kundeportal og leverandørportal gir tredjeparter begrenset tilgang via unike lenker. Kunden er ansvarlig for å dele portallenker kun med tiltenkte mottakere.

8. Personvern og databehandling

Personopplysninger behandles i henhold til vår personvernerklæring og GDPR. Data lagres på servere innenfor EU/EØS. AI-forespørsler kan prosesseres av tredjepartsleverandører (Anthropic, OpenAI) i henhold til deres databehandleravtaler. Kundedata benyttes kun for å generere svar og lagres ikke hos AI-leverandøren utover det som er nødvendig for forespørselen.

9. Tilgjengelighet og vedlikehold

Leverandøren tilstreber 99,5% opptid målt over en kalendermåned. Planlagt vedlikehold varsles minimum 24 timer i forveien. Leverandøren tar regelmessig backup av alle data. Ved datatap som skyldes leverandørens feil, vil siste tilgjengelige backup gjenopprettes.

10. Oppsigelse

Abonnementet løper uten bindingstid og kan sies opp med 30 dagers varsel. Ved oppsigelse beholdes tilgangen ut inneværende betalte periode. Leverandøren kan si opp avtalen med umiddelbar virkning ved vesentlig mislighold, herunder betalingsmislighold over 60 dager, brudd på punkt 11 (forbudt bruk), eller bruk som skader tjenestens ytelse for andre kunder.

11. Tillatt og forbudt bruk

Tjenesten skal kun brukes til lovlige forretningsformål. Det er forbudt å: bruke tjenesten til ulovlige aktiviteter; forsøke uautorisert tilgang til andre kontoer eller systemer; distribuere skadelig programvare; systematisk overbelaste systemet eller AI-tjenester; eller viderelisensiere tilgangen til tredjeparter utover det systemet tilrettelegger for (portaler, regnskapsbyrå-tilgang).

12. Ansvarsbegrensning

Leverandørens samlede erstatningsansvar er begrenset til det beløp kunden har betalt for tjenesten de siste 12 måneder. Leverandøren er ikke ansvarlig for:

  • Indirekte tap, tapt fortjeneste eller konsekvenstap
  • Feil i regnskap, skatteberegning eller rapportering som skyldes kundens bruk av systemet
  • Tap som følge av at kunden har handlet på bakgrunn av AI-genererte forslag uten egen verifisering
  • Bøter, tilleggsskatt eller renter pålagt av skattemyndigheter
  • Tap som skyldes uautorisert tilgang grunnet kundens manglende sikring av brukernavn og passord
  • Nedetid eller datatap hos tredjepartsleverandører (AI-tjenester, banktilkoblinger)

13. Endringer i vilkår og tjeneste

Leverandøren kan endre disse vilkårene med minimum 30 dagers skriftlig varsel via e-post. Vesentlige endringer gir kunden rett til å si opp avtalen uten kostnader. Fortsatt bruk etter endringene trer i kraft innebærer aksept av de nye vilkårene. Leverandøren kan videreutvikle, endre og legge til funksjoner i tjenesten uten forvarsel.

14. Gjeldende lov og tvisteløsning

Disse vilkårene er underlagt norsk lov. Tvister skal først søkes løst gjennom forhandlinger. Dersom enighet ikke oppnås innen 30 dager, behandles tvisten ved Bergen tingrett som verneting.

Konrad Office AS

Org.nr. 937 442 262

Johan Sverdrups vei 10, 5063 Bergen

post@konradoffice.no · +47 55 61 20 50

Sist oppdatert: 2. april 2026