Når gjelder regelverket for deg?

Så hva er egentlig GDPR, ekomloven, personopplysningsloven og ePrivacy Directive? Dette er begreper som ofte blir gruppert sammen og omtalt om hverandre.

GDPR er den de fleste kanskje er mest kjent med. Den gjelder når du behandler personopplysninger, altså all informasjon som kan knyttes til en identifiserbar person: navn, e-post, IP-adresse, atferdsdata eller cookie-identifikatorer. GDPR er et EU-regelverk som i norsk lov er lovfestet gjennom personopplysningsloven, og i norske loververk omtales det som personvernforordningen.

Ekomloven dekker veldig mye, men det som er mest relevant for oss er § 3-15 om bruk av informasjonskapsler. Dette er Norges implementering av ePrivacy Directive artikkel 5(3). Ekomloven gjelder når du lagrer eller henter ut hva som helst fra brukerens enhet, helt uavhengig av om det er personopplysninger eller ikke. Man snakker gjerne om cookies, men reglene gjelder for alle slike teknologier.

Samspillet mellom disse to er viktig å forstå. Ekomloven fungerer litt som en dørvakt: Før vi i det hele tatt kan vurdere hvilket GDPR-grunnlag vi har for å behandle data, må vi først ha passert ekomlovens krav om samtykke.

Rettslige grunnlag for å samle data

Ekomloven: Samtykke med et par unntak

Ekomloven krever stort sett alltid samtykke, men har to unntak. Kravet om samtykke gjelder ikke for teknisk lagring av eller adgang til opplysninger:

a) utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller

b) som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.

Det er gjerne b) som kan være relevant for oss. Unntaket gjelder teknologi som er en forutsetning for å levere tjenesten brukeren faktisk ba om.

Typisk ok uten samtykke:

• Handlekurv-funksjonalitet
• Autentisering og innloggingssesjoner
• Språkvalg brukeren selv har gjort
• Lastbalansering og sikkerhetsfunksjoner

Krever typisk samtykke:

• Analyse og trafikkmåling (når det lagrer eller leser noe på/fra brukerens enhet)
• Annonsepiksler og remarketing
• Chat-widgets som laster tredjepartsscripts
• Embeddede YouTube-videoer (som setter egne cookies)
• Personalisering basert på tidligere atferd

Noe å tenke på: Hvis brukeren aldri ba om funksjonaliteten, og tjenesten fungerer fint uten den, er den ikke strengt nødvendig.

GDPR: Seks mulige grunnlag

All behandling av personopplysninger må ha ett av disse seks grunnlagene (art. 6.1):

a) Samtykke – Personen har aktivt godtatt behandlingen for ett eller flere spesifikke formål. Vanligst for markedsføring og analyse.

b) Avtale – Nødvendig for å oppfylle en kontrakt med personen, for eksempel levere varen de har bestilt.

c) Rettslig forpliktelse – Du er pålagt ved lov å behandle dataene, for eksempel regnskapslovens krav om å lagre fakturainformasjon.

d) Vitale interesser – Nødvendig for å beskytte noens liv eller helse. Sjelden relevant for nettsider.

e) Allmenn interesse / offentlig myndighet – Gjelder primært offentlige organer som utøver myndighet.

f) Berettiget interesse – Virksomhetens interesser veier tyngre enn personens personvern.

For oss i de fleste tilfeller vil man belegge seg på enten samtykke eller berettiget interesse.

Berettiget interesse kan ofte brukes for:

• Svindelforebygging og sikkerhetstiltak
• IT-sikkerhet og logging for feilsøking
• Veldig grunnleggende webstatistikk på aggregert nivå, uten identifikatorer

Samtykke er normalt nødvendig for:

• Markedsføring til nye potensielle kunder
• Detaljert profilering og personalisering
• Deling av data med tredjeparter for deres formål
• Sporing på tvers av nettsider
• Analyse av oppførsel på nettsiden

Viktig å merke seg

For behandling basert på berettiget interesse kreves det at det er gjennomført og dokumentert en interesseavveining.

Selv om noe kvalifiserer som berettiget interesse under GDPR, kan det fortsatt kreve samtykke etter ekomloven. Og motsatt: En løsning som ikke krever ekom-samtykke kan fortsatt trenge GDPR-samtykke. De to regelverkene må vurderes hver for seg, selv om man ofte slår de sammen når man ber om samtykke.

For offentlige myndigheter gjelder det noen særregler, de kan for eksempel ikke bruke berettiget interesse for behandling som skjer som ledd i myndighetsutøvelse.

Krav til samtykke

Både ekomloven og GDPR stiller de samme kravene til hva som er et gyldig samtykke. Alle må være oppfylt:

Frivillig. Brukeren må ha et reelt valg. Å avslå skal ikke kreve flere klikk enn å godta, og avslag skal ikke begrense tilgangen til innhold unødvendig.

Spesifikt. Samtykke til konkrete formål, ikke én stor «Godta alle»-boks. Markedsføring og analyse bør være separate valg.

Informert. Brukeren må forstå hva de sier ja til: hvilke data, til hvilke formål, hvem som behandler dem.

Utvetydig. En aktiv handling kreves. Fortsatt surfing eller forhåndsavkryssede bokser teller ikke.

I tillegg må det være like enkelt å trekke tilbake samtykket som det var å gi det.

Dark patterns: Designvalg som ugyldiggjør samtykke

Datatilsynets veiledning om cookies fra april 2025 er tydelig på at villedende design gjør samtykket ugyldig. Noen vanlige feil:

Asymmetrisk design. «Godta alle» som stor fargerik knapp, og «Avslå» som liten tekstlenke. Alternativene skal være visuelt likestilte.

Skjulte avslag. Hvis brukeren må gjennom flere skjermer for å avslå, er det ikke et reelt valg.

Skremselsretorikk. Formuleringer som «Du kan miste funksjonalitet» for å presse frem samtykke.

Forhåndsvalgte kategorier. Alle cookie-kategorier avkrysset som default, slik at brukeren må aktivt velge bort.

En enkel sjekk: Kan en førstegangsbesøkende avslå alle ikke-nødvendige cookies like enkelt og intuitivt som å godta? Hvis ikke, er løsningen trolig ikke innenfor.

Bygg personvern inn fra start

GDPR krever at personvern bygges inn i løsninger fra start, og at du kan dokumentere at du har tenkt på det. I praksis handler det om noen grunnleggende prinsipper:

Dataminimering. Samle kun det du faktisk trenger. Trenger du virkelig fødselsdato for et nyhetsbrev? Full adresse, eller holder postnummer?

Formålsbegrensning. Bruk data til det du sa du skulle bruke dem til. Nye formål krever nytt grunnlag.

Lagringstid. Definer hvor lenge du trenger dataene, og slett når formålet er oppfylt. Kontaktskjema-innsendelser trenger sjelden lagres i årevis.

Personvernvennlige standardinnstillinger. Velg den mest restriktive innstillingen som default. Brukeren må aktivt velge å dele mer, ikke omvendt.

Dokumentasjonen du må ha på plass

For å kunne samle data er det noen krav til dokumentasjon, uavhengig av hvilket rettslig grunnlag du bruker.

Alltid påkrevd

Personvernerklæring. Forklar hva du samler, hvorfor, hvor lenge, hvem som behandler dataene, og hvilke rettigheter brukerne har. Skriv for målgruppen din, ikke for jurister. Denne må være tilgjengelig på nettsiden.

Intern protokoll (behandlingsprotokoll). En oversikt over behandlingsaktivitetene dine: hva samler du, hvorfor, hvor lagres det, hvor lenge, hvem har tilgang. Dette er påkrevd (med noen snevre untak) og nyttig for egen oversikt, primært for intern bruk eller ved tilsyn. Det vil være en del overlappende informasjon med det som må være tilgjengelig i Personvernerklæringen.

Ved bruk av cookies eller lignende

Cookie-policy. En konkret oversikt over informasjonskapsler og lignende teknologi, kategorisert etter formål. Mange samtykkeverktøy genererer dette automatisk. Må være tilgjengelig for brukerne. Dette trenger ikke nødvendigvis å være et eget dokument og kan bakes inn i Personvernerklæringen.

Ved bruk av tredjeparter

Databehandleravtaler (DPA). Påkrevd når tredjeparter behandler data på dine vegne som f.eks: hosting, analyseverktøy eller e-postmarkedsføring. De fleste større leverandører har standardavtaler klare.

Overføring til USA og andre tredjeland

Bruker du amerikanske tjenester som Google, AWS, Microsoft eller Stripe? Da er det en sjanse for at du sender personopplysninger ut av EØS.

EU-US Data Privacy Framework (fra juli 2023) forenkler overføring til sertifiserte amerikanske virksomheter. Men her er det viktig å være oppmerksom: Datatilsynet advarte i februar 2025 om at situasjonen er usikker.

Problemet er at PCLOB (Privacy and Civil Liberties Oversight Board), organet som skal kontrollere at amerikanske etterretningsmyndigheter respekterer avtalen, ikke lenger er beslutningsdyktig. Datatilsynet har bedt virksomheter om å ha en exit-strategi klar. Hvis adekvansbeslutningen oppheves, vil det sannsynligvis ikke være noen overgangsperiode.

Mange av de større aktørene tilbyr nå hosting og lagring i europeiske datasentre, og det finnes europeiske alternativer til de fleste tjenester. Hvis du ikke må sende data ut av EØS, er det lurt å unngå det.

Databrudd er mer hverdagslig enn du tror

Et databrudd trenger ikke involvere hackere eller eksponering i stort omfang. Det er enhver hendelse som fører til uautorisert tilgang, tap eller eksponering av personopplysninger:

• E-post sendt til feil mottaker med vedlegg som inneholder persondata
• Tapt eller stjålet enhet med tilgang til systemer
• Feilkonfigurert database eksponert mot internett
• Ansatt som får tilgang til data de ikke skulle sett

Ved brudd som innebærer risiko for de registrerte, skal Datatilsynet varsles innen 72 timer. Datatilsynet har en veileder med eksempler på hvilke brudd som skal meldes, så hvis du er i tvil er det fint å ta en titt på den.

Og selv om du konkluderer med at varsling ikke er påkrevd, skal du dokumentere hendelsen og vurderingen internt.

Oppsummert

Personvernreglene handler i bunn og grunn om respekt for brukerne dine. De skal vite hva som skjer med informasjonen om dem, og ha reell kontroll over den.

Det krever litt arbeid å få på plass, men når grunnlaget er der, handler det mest om å vedlikeholde gode vaner. Tenk personvern tidlig i prosessen, vær ærlig med brukerne, og samle bare det du faktisk trenger.