Visma Draftit / 2024

Behandlingsprotokoll i Excel eller spesialverktøy – hva er tryggest?

Skrevet av Ellen Berg | juni 23, 2025

Du kjenner til kravene: Hvis virksomheten skal følge GDPR, må dere i de fleste tilfeller ha en behandlingsprotokoll. Den skal vise hvilke personopplysninger dere behandler, hvorfor, hvem som har ansvaret, og hvilke sikkerhetstiltak som er iverksatt. Og den må holdes oppdatert – hele tiden. 

Kravet gjelder for alle virksomheter som behandler personopplysninger regelmessig, systematisk, eller på en måte som kan innebære risiko for enkeltpersoners rettigheter – noe som i praksis gjelder nesten alle organisasjoner, uavhengig av størrelse.

Men å holde dokumentasjonen levende er ofte en stor utfordring. Revisjon og vedlikehold av protokollen blir gjerne en punktinnsats fremfor en kontinuerlig prosess, noe som raskt øker risikoen for feil og mangler.

Mange starter med Excel, Word eller egenproduserte maler. Det fungerer – inntil det skjer en endring, noen blir usikre, eller et tilsyn står for døren.

Så hva fungerer best for behandlingsprotokollen – Excel eller et system utviklet for strukturert GDPR-arbeid? 

Her ser du forskjellene, og hvordan du sikrer kontroll og etterlevelse i praksis.

Excel og egenbygd løsning: Fordeler

Excel og Word er tilgjengelige og fleksible – og mange kjenner dem godt. Det gjør det enkelt å komme i gang og lage en mal som passer organisasjonen. Særlig for mindre virksomheter, eller der det er få behandlingsaktiviteter, kan dette være en praktisk start.

Fordelene med en egenbygd løsning:

  • Ingen investering i nye systemer eller opplæring

  • Frihet til å tilpasse maler og struktur etter behov

  • Ingen lisenskostnader

  • Passer for små og stabile behandlingsaktiviteter

  • Lav terskel for å gjøre endringer selv

Men selv i mindre til mellomstore virksomheter kan dette bli en sovepute. En ny prosess, et nytt system – eller én henvendelse fra Datatilsynet – er ofte nok til at oversikten forsvinner. Og når alt ligger i en fil noen få ansatte har tilgang til, blir risikoen høyere dersom noen slutter eller glemmer å oppdatere.

4 typiske utfordringer med egenbygd løsning

  1. Manuell oppfølging: Når en behandling endres – hvem oppdaterer protokollen? Hva skjer hvis nøkkelpersoner slutter?
  2. Ulik praksis: Flere avdelinger bruker egne maler eller versjoner – og ingen har full oversikt.
  3. Ingen varsler: Du får ingen beskjed når noe må revideres – før det kanskje er for sent.
  4. Lite egnet ved tilsyn: En utdatert Excel-fil holder sjelden mål når Datatilsynet ber om dokumentasjon.
  5. Manglende sporbarhet: Det finnes ingen historikk over endringer – du kan ikke vise hva som er gjort, når eller av hvem.

Resultatet? Det kan se greit ut på overflaten, men manglende kontroll kan føre til alvorlige konsekvenser hvis noen faktisk sjekker.

Når blir en egenbygd løsning en risiko? Tre hverdagslige eksempler

  1. Ny behandling, ingen varsler: Hjemmetjenesten begynner å bruke nettbrett til å registrere helsedata ute hos brukerne. Men endringen blir ikke fanget opp – ingen oppdaterer protokollen, og personvernombudet får ikke beskjed.
  2. Flere versjoner i omløp: Dere har én protokoll i Word, IT en annen i Excel. Tilsynet ber om dokumentasjon på overføring av data utenfor EU – og ingen vet hva som er gjeldende.
  3. Manglende innhold: Alt virker i orden – til noen oppdager at risikovurderinger, kontaktpunkter og sikkerhetstiltak mangler for flere aktiviteter. Hele protokollen må revideres i all hast.

Bruk av spesialverktøy: Proaktiv protokollføring med struktur og støtte

Et verktøy som er utviklet for behandlingsprotokoller gir mer enn bare struktur – det hjelper deg å jobbe riktig. Du får et rammeverk å bygge på, ikke bare et tomt skjema. Og viktigst: Du blir varslet når noe må gjøres.

Slik fungerer det i praksis:

  • Alle behandlingsaktiviteter må fylles ut med påkrevde opplysninger – du slipper å gjette

  • Varsler sendes når noe må oppdateres eller revideres

  • Ansvar og roller kan fordeles – samtidig som alle ser status og hva som mangler

  • Protokollen er alltid oppdatert og klar for gjennomgang ved tilsyn

Fordelene:

  • Tidsbesparende: Mindre manuelt arbeid og oppfølging

  • Redusert risiko: Du vet at kravene blir fulgt

  • Bedre samhandling: Flere kan bidra – uten at det går på bekostning av kontroll

  • Trygg dokumentasjon: Riktig informasjon, uten dobbeltarbeid

Behandlingsprotokollen er mer enn dokumentasjon – den avdekker risiko

For mange er protokollen noe man “bare må ha”. Men i realiteten er det ofte det eneste dokumentet som viser hele bildet av hvilke personopplysninger som behandles – og hvor det finnes risiko.

Uten oversikt her, kan små glipper bli store problemer: Behandling uten lovlig grunnlag, manglende sikkerhetstiltak, eller utdaterte systemer uten ansvarlig. Slike feil er vanlige – og kan føre til brudd på GDPR eller tap av tillit.

En god protokoll gjør det mulig å være i forkant – ikke bare reagere når noe skjer.

Men i en travel hverdag er tidsmangel og lav prioritet ofte en utfordring. Selv når personvern er anerkjent som viktig, blir det ofte skjøvet til side. Uten dedikert tid og ansvarlige ressurser, utsettes nødvendige vurderinger og oppdateringer. Dette er en av de største årsakene til at egenbygde løsninger blir en risiko.

Hvem har mest å vinne på et spesialisert verktøy?

  • HR-ansvarlige: Slipper manuelle skjemaer, kluss og feil i Excel og får bedre oversikt over etterlevelse

  • Daglige ledere: Får trygghet og kontroll – uten å måtte forstå alle detaljer i GDPR

  • Personvernombud eller personvernansvarlig: Kan jobbe mer strukturert og målrettet, med færre manuelle avhengigheter

Sjekkliste: Er det på tide å bytte ut Excel?

Her er noen spørsmål som kan hjelpe deg vurdere om det fortsatt er fornuftig å bruke en egenbygd løsning:

  • Har dere mange eller hyppige endringer i behandlingsaktivitetene?
    Når behandlingsgrunnlag, formål eller datamottakere endres ofte, blir det fort uoversiktlig i Excel. Risikoen for utdaterte eller mangelfulle oppføringer øker.

  • Er ansvaret for oppdateringer uklart?
    Hvis ingen helt vet hvem som skal gjøre hva – eller når – blir dokumentasjonen fort hengende etter. Særlig ved sykdom, utskifting eller ferie.

  • Bruker ulike avdelinger forskjellige maler eller versjoner?
    Ulike dokumenter og versjoner skaper fort forvirring og fører til ulik praksis på tvers av virksomheten.

  • Har dere noen gang vært i tvil om dokumentasjonen holder ved revisjon eller tilsyn?
    Hvis du må dobbeltsjekke eller rydde i siste liten før et tilsyn, er det et tydelig tegn på at løsningen ikke gir nødvendig trygghet.

  • Mangler dere varsler eller påminnelser ved endringer?
    Uten automatiske varsler kan viktige endringer gå under radaren – som f.eks. ny databehandler, nytt system eller endret formål.

  • Er det tidkrevende å få oversikt over risikovurderinger og sikkerhetstiltak?
    Når du må bla deg gjennom flere dokumenter eller regneark for å finne frem, er det lett å miste oversikt – og vanskelig å oppdage hull.

Hvis du svarte "ja" på flere av disse: Da kan det være tid for å vurdere en mer strukturert og trygg løsning – der du får oversikt, fordeling av ansvar og oppdateringer på plass, uten ekstraarbeid.

Hva koster det å ikke ha kontroll?

Feil eller mangler i behandlingsprotokollen kan føre til:

  • Reaksjoner fra Datatilsynet

  • Unødvendig tidsbruk på intern revisjon

  • Tap av tillit hos kunder eller ansatte

  • Feilbehandling av personopplysninger – med økonomiske og juridiske konsekvenser

  • Og kanskje mest frustrerende: Du bruker tid på å rydde opp, i stedet for å skape verdi

Slik gjør du protokollføringen enklere – og i tråd med GDPR

For å følge GDPR må du til enhver tid ha oversikt over hvilke personopplysninger dere behandler, til hvilket formål, og hvordan dere sikrer dem. Det krever en behandlingsprotokoll som er oppdatert, strukturert og etterprøvbar – ikke bare ved tilsyn, men i det daglige arbeidet.

Et verktøy som er utviklet for nettopp dette gir deg ikke bare bedre oversikt, men hjelper deg å jobbe mer effektivt og sikkert – hver dag. Du får:

  • Praktisk veiledning underveis, slik at du vet hva som må fylles ut – og slipper å gjette
  • Mulighet til å delegere oppgaver og ansvar på tvers av team, uten å miste kontroll
  • Tilgangsstyring, slik at kun de riktige personene ser og redigerer det de skal
  • Fleksibilitet til å tilpasse protokollen etter behov – uten å starte fra bunnen hver gang
  • Gjenbruk av tidligere behandlinger, så du enkelt kan kopiere og justere når noe ligner
  • Flere brukere med tydelig rollefordeling, som gjør samarbeidet både enklere og tryggere

Resultatet? Du får en protokoll som faktisk fungerer i praksis – ikke bare i teorien. Mindre frustrasjon, færre feil og en løsning som vokser med virksomhetens behov.

Book en demo og se hvordan det fungerer i praksis – helt uten forpliktelser. 
Vis hele posten