20. mars 2026 · 6 min lesing

GDPR: Må jeg tenke på det?

Kort svar: ja. Langt svar: ja, men det trenger ikke være et mareritt.

Du har en idé til en app. Eller en nettside. Eller et bookingsystem. Og så nevner noen GDPR, og plutselig føles det som om du trenger en jurist bare for å komme i gang.

La oss ta brodden av det.

Hva er GDPR?

GDPR (General Data Protection Regulation) er EUs personvernforordning. Den gjelder i hele EØS — inkludert Norge. Den sier i bunn og grunn:

Hvis du samler inn, lagrer, eller bruker personopplysninger, må du gjøre det på en ryddig måte.

Personopplysninger er alt som kan identifisere en person: navn, e-post, telefonnummer, IP-adresse, bilder. Hvis appen din lagrer noe av dette — og det gjør den sannsynligvis — gjelder GDPR for deg.

Når gjelder det i praksis?

  • Kontaktskjema på nettsiden? Ja — du lagrer navn og e-post.
  • Bookingsystem? Ja — du lagrer hvem som booket, når, og kanskje helseinfo.
  • Nettbutikk? Ja — kundedata, betalingsinfo, leveringsadresser.
  • Intern app uten brukerdata? Sannsynligvis ikke — men sjekk om den logger noe.

Tommelfingerregel: Hvis en person kan identifiseres fra dataene du lagrer, gjelder GDPR.

Hva betyr det i praksis?

Det høres skummelt ut, men kravene koker ned til noen få fornuftige ting:

1. Vit hva du samler inn og hvorfor

Du trenger ikke et hundre siders dokument. Du trenger å kunne svare: Hva samler vi inn? Hvorfor? Hvor lenge beholder vi det?

2. Ha et lovlig grunnlag

Du trenger en grunn til å behandle personopplysninger. De vanligste:

  • Samtykke — personen sa ja (f.eks. cookie-banner)
  • Avtale — du trenger dataene for å levere en tjeneste (f.eks. leveringsadresse for en bestilling)
  • Berettiget interesse — du har en god grunn som ikke trumfer personens rettigheter

3. Vær åpen om det

Ha en personvernerklæring. Den trenger ikke være lang. Den må si: hvem du er, hva du samler inn, hvorfor, hvor lenge, og hvem du deler det med.

4. Hold dataene trygge

Rimelig sikkerhet. Kryptert overføring (HTTPS). Passordbeskyttede kontoer. Ikke lagre mer enn nødvendig.

5. La folk slette sine data

Hvis noen ber om det, skal du kunne slette personopplysningene deres. Ikke i teorien — i praksis.

Hva vi gjør for deg

Når vi bygger noe for deg, håndterer vi GDPR-siden:

  • Personvernerklæring — vi lager et utkast tilpasset akkurat din tjeneste
  • Cookie-samtykke — hvis du trenger det, bygger vi det inn
  • Databehandleravtale — hvis vi hoster data på dine vegne, har vi en standard DPA klar
  • Tekniske tiltak — HTTPS, kryptert lagring, tilgangskontroll, logging
  • Sletting — vi bygger inn mulighet for å slette brukerdata

Du trenger ikke bli GDPR-ekspert. Du trenger å vite at den som bygger for deg tar det seriøst.

Vanlige misforståelser

«GDPR gjelder bare store selskaper»

Nei. Den gjelder alle som behandler personopplysninger — uansett størrelse. Datatilsynet har bøtelagt enkeltmannsforetak.

«Jeg kan bare ha et cookie-banner og så er jeg dekket»

Et cookie-banner dekker cookies. GDPR dekker all persondata. Det er to forskjellige ting.

«Jeg bruker jo bare Google Analytics»

Google Analytics samler personopplysninger (IP-adresser, enhetsinfo). Du trenger samtykke for det. Og du trenger en personvernerklæring som nevner det.

«Det er for komplisert for et lite prosjekt»

Det trenger ikke være komplisert. For de fleste småprosjekter holder det med:

  • En kort personvernerklæring
  • Cookie-samtykke (hvis du bruker analyseverktøy)
  • Rimelig sikkerhet
  • En plan for sletting

Det er det. Og vi hjelper deg med alt.

Når bør du tenke ekstra?

Noen situasjoner krever litt mer:

  • Helsedata — ekstra strenge regler
  • Barns data — ekstra samtykke-krav
  • Stort volum — du kan trenge et personvernombud (DPO)
  • Overføring utenfor EØS — krever ekstra tiltak

Men for de fleste apper og nettsider vi bygger? Standardoppsettet dekker det.

Vi tar GDPR på alvor — slik at du ikke trenger å ligge våken om natten for det.

K
Kjetil
DHAI
Start samtalen →