GDPR for norske nettsider: Hva må du ha på plass?

Aleksander Blomquist · 5. March 2026 · 5 min read
GDPR for norske nettsider: Hva må du ha på plass?

# GDPR for norske nettsider: Hva må du ha på plass?

Personvern er ikke bare et juridisk krav - det er et tillitssignal til kundene dine. Likevel ser vi gang på gang at norske bedrifter har nettsider som mangler grunnleggende GDPR-tiltak. Mange vet at GDPR finnes, men få vet nøyaktig hva som kreves av nettsiden deres.

Konsekvensene kan være alvorlige. Datatilsynet gjennomfører jevnlig tilsyn, og botene for brudd på personvernforordningen kan bli store. Men det trenger ikke være komplisert. I denne guiden tar vi deg gjennom alt du trenger å ha på plass, med en praktisk sjekkliste du kan bruke med en gang.

Hva er GDPR, og hvem gjelder det for?

GDPR (General Data Protection Regulation) er EUs personvernforordning, som også gjelder i Norge gjennom personopplysningsloven. Den gjelder for alle virksomheter som behandler personopplysninger - og det gjør så godt som alle nettsider.

Samler du inn navn og e-post via et kontaktskjema? Det er personopplysninger. Bruker du Google Analytics? Da behandler du IP-adresser og atferdsdata. Har du en cookie som husker besøkendes preferanser? Også det er omfattet.

Kort sagt: Hvis du har en nettside, gjelder GDPR for deg.

Personvernerklæring: Hva den må inneholde

Enhver nettside som samler inn personopplysninger, må ha en personvernerklæring. Den skal være lett tilgjengelig, gjerne lenket til fra bunnteksten på alle sider. Erklæringen må inneholde:

  • Hvem som er behandlingsansvarlig: Firmanavn, organisasjonsnummer og kontaktinformasjon.
  • Hvilke opplysninger du samler inn: Vær konkret. Kontaktskjemaer, analyseverktøy, nyhetsbrev, cookies - alt må nevnes.
  • Formål med behandlingen: Hvorfor samler du inn dataene? Kundeservice, markedsføring, analyse?
  • Rettslig grunnlag: Samtykke, avtale, berettiget interesse eller rettslig forpliktelse.
  • Hvem opplysningene deles med: Tredjeparter som Google, e-postleverandører, hostingleverandører.
  • Oppbevaringstid: Hvor lenge lagres dataene?
  • Den registrertes rettigheter: Rett til innsyn, retting, sletting, dataportabilitet og å klage til Datatilsynet.

Datatilsynet har maler og veiledere som kan hjelpe deg i gang, men erklæring bør tilpasses din spesifikke virksomhet.

Cookie-banner og samtykkehåndtering

Når en besøkende lander på nettsiden din, må du informere om cookies og innhente samtykke før de besøkende kan spores. Dette kravet kommer fra både GDPR og ekomloven.

En gyldig cookie-løsning må:

  • Vise informasjon før sporing starter: Ingen analyseverktøy eller markedsføringscookies skal lastes før brukeren har gitt samtykke.
  • Gi reelle valg: Brukeren må kunne akseptere, avvise eller tilpasse samtykket. En "Godta alle"-knapp alene holder ikke.
  • Være like enkel å avvise som å akseptere: Datatilsynet har vært tydelige på at det ikke skal være vanskeligere å si nei enn ja.
  • Huske valget: Slik at brukeren ikke får banneret ved hvert besøk.
  • Dokumentere samtykket: Du må kunne bevise at samtykke ble gitt.

Populære løsninger som Cookiebot, Cookie Information og Complianz håndterer dette for deg. De skanner nettsiden din, kategoriserer cookies og genererer et samtykke-banner som oppfyller kravene.

Kontaktskjemaer og databehandling

De fleste bedriftsnettsider har et kontaktskjema, og det krever noen GDPR-tiltak:

  • Informer om behandlingen: Oppgi kort hva opplysningene brukes til, og lenk til personvernerklæringen.
  • Ikke samle inn mer enn nødvendig: Trenger du virkelig fødselsdato for å svare på en henvendelse? Begrens feltene til det som faktisk er nødvendig.
  • Sikker overføring: Skjemaet må sende data over HTTPS (SSL-sertifikat).
  • Slettingsrutiner: Ha en plan for når og hvordan du sletter mottatte henvendelser.

Hvis du bruker en tredjepart for å håndtere skjemaer eller e-post (for eksempel Mailchimp, ActiveCampaign eller liknende), trenger du en databehandleravtale med dem.

Google Analytics og sporingsverktøy

Google Analytics er det mest brukte analyseverktøyet i verden, men det er også et av de mest problematiske fra et GDPR-perspektiv. Flere europeiske datatilsyn har konkludert med at bruk av Google Analytics kan være ulovlig uten riktig samtykke.

Kravene for å bruke Google Analytics lovlig:

  • Aktivt samtykke før sporingsscriptet lastes (via cookie-banner).
  • IP-anonymisering må være aktivert.
  • Informasjon om bruken må stå i personvernerklæringen.
  • Du bør ha en databehandleravtale med Google.

Et alternativ er å bruke personvernvennlige analyseverktøy som Plausible, Fathom eller Umami. Disse samler ikke inn personopplysninger og krever derfor ikke samtykke. Det betyr ingen cookie-banner for analyseformål og en bedre brukeropplevelse.

Datatilsynet og mulige boter

Datatilsynet er Norges tilsynsmyndighet for personvern, med myndighet til å gjennomføre tilsyn og ilegge overtredelsesgebyr. Botene kan være betydelige: opptil 20 millioner euro eller 4 % av global omsetning for alvorlige brudd. I praksis har norske bedrifter fått bøter på alt fra noen titusener til flere millioner kroner. Også små bedrifter kan få tilsyn, særlig etter klager fra besøkende.

Det viktigste er ikke å være perfekt, men å vise at du tar personvern på alvor og har gjort rimelige tiltak.

Praktisk GDPR-sjekkliste for nettsiden din

Her er en sjekkliste du kan gå gjennom i dag:

  • Personvernerklæring som er oppdatert og lett tilgjengelig
  • Cookie-banner med reelle valg og dokumentert samtykke
  • SSL-sertifikat (HTTPS) på hele nettsiden
  • Kontaktskjemaer med informasjon om databehandling
  • Databehandleravtaler med alle tredjeparter som behandler data på dine vegne
  • Samtykke før sporing - ingen analyseverktøy laster før brukeren godtar
  • Slettingsrutiner for personopplysninger du ikke lenger trenger
  • Internkontroll - dokumentasjon på hvordan dere håndterer personvern

Slik bygger Nyrge GDPR-vennlige nettsider

Hos Nyrge er personvern innebygd i alle nettsider vi lager. Vi bruker selvhostede fonter via Bunny Fonts i stedet for Google Fonts, noe som betyr at besøkendes data ikke sendes til Google bare for å laste inn skrifttyper. Vi minimerer bruk av tredjepartsskript, og alle kontaktskjemaer er satt opp med riktig informasjon og sikker datahåndtering.

Vi hjelper deg også med å sette opp cookie-samtykke, personvernerklæring og eventuelt personvernvennlige analyseverktøy. Alt dette er en del av vår standard leveranse, slik at du kan fokusere på å drive bedriften din.

Usikker på om nettsiden din oppfyller GDPR-kravene? Ta kontakt for en uforpliktende gjennomgang. Vi ser på nettsiden din og gir deg konkrete råd om hva som eventuelt må utbedres.

Trenger du hjelp med din nettside?

Vi hjelper norske bedrifter med profesjonelle nettsider og digital markedsføring.

Kontakt oss