Hva skal en behandlingsprotokoll inneholde? Eksempler og forklaringer

En behandlingsprotokoll er mer enn bare et lovkrav – den er et viktig verktøy for å skape struktur og kontroll i personvernarbeidet.

Men hva må egentlig være med? Og hvordan sikrer du at protokollen oppfyller kravene i praksis?

I dette innlegget får du en oversikt over hva som skal være med i en korrekt behandlingsprotokoll etter GDPR – både for behandlingsansvarlige og databehandlere. Du får også konkrete eksempler og praktiske tips.

Hva er en behandlingsprotokoll – og hvorfor er den så viktig?

Alle virksomheter som behandler personopplysninger må kunne vise hvilke behandlinger som gjennomføres. Denne oversikten kalles behandlingsprotokoll (eller oversikt over behandlingsaktiviteter), og er et krav i artikkel 30 i GDPR.

Selv om mindre virksomheter i noen tilfeller kan være unntatt fra deler av kravet, gjelder det i praksis for de aller fleste. En god protokoll hjelper dere med å:

• Svare raskt på innsynsbegjæringer
  
  
• Dokumentere det rettslige grunnlaget for behandlingen
  
  
• Forklare hvilke typer personopplysninger som behandles – og hvorfor
  
  
• Gi korrekt informasjon i personvernerklæringen
  
  
• Identifisere unødvendige, utdaterte eller risikofylte behandlinger

Ved tilsyn er dette ofte det første tilsynsmyndigheten ber om. En oppdatert protokoll viser at dere har kontroll – og tar personvern på alvor.

Hva skal behandlingsprotokollen inneholde? (For behandlingsansvarlige)

Hvis dere er behandlingsansvarlige, skal protokollen inneholde følgende punkter:

1. Navn og kontaktopplysninger

Det skal tydelig fremgå hvem som er ansvarlig for behandlingen – inkludert kontaktinformasjon og eventuelle representanter eller personvernombud.

Eksempel:
Behandlingsansvarlig: Eksempel AS
Kontakt: personvern@eksempel.no
Representant: GDPR Rådgivning AS (for virksomhet utenfor EU/EØS)
Personvernombud: Line Lov, dpo@eksempel.no

2. Formålet med behandlingen

Hver behandling må ha et tydelig og spesifikt formål, knyttet til virksomhetens behov.

Eksempel:

• Personaladministrasjon og lønnsutbetaling
• Levering av tjenester via mobilapp
• Logging og håndtering av sikkerhetshendelser

Formålet henger tett sammen med hvilket rettslig grunnlag dere bruker – og det må dere kunne forklare.

3. Kategorier av registrerte og personopplysninger

Her beskriver dere hvem opplysningene gjelder, og hvilke typer data som behandles.

Eksempel:
Registrerte: Kunder, ansatte, konsulenter
Personopplysninger: Navn, e-post, innloggingsdata, IP-adresse, helseopplysninger (ved sykefravær)

Husk at sensitive personopplysninger (som helse, religion eller fagforeningstilhørighet) krever ekstra beskyttelse og særskilt rettslig grunnlag.

4. Mottakere og overføringer til tredjeland

Oppgi hvem som har tilgang til opplysningene – både internt og eksternt – og om data overføres utenfor EU/EØS.

Eksempel:

• Intern IT-avdeling
• Lønnsleverandør i Norge
• Analyseverktøy i USA (med standardavtaler – SCC)

Overføringer til tredjeland krever spesifikke sikkerhetstiltak etter artikkel 46 eller 49, og må dokumenteres.

5. Lagringstider og sletterutiner

Dere må vise at dere følger prinsippet om lagringsbegrensning – altså at data ikke lagres lenger enn nødvendig.

Eksempel:

• Rekrutteringsdata slettes etter 12 måneder
• Lønnsdata lagres i 5 år og slettes deretter
• Innloggingslogger slettes etter 90 dager

Hvis dere ikke kan angi et konkret tidspunkt, bør dere likevel beskrive sletterutiner og hvor ofte dere gjennomgår dem.

6. Beskrivelse av sikkerhetstiltak

Dere må vise at dere har iverksatt rimelige sikkerhetstiltak – uten å gå i dybden på tekniske detaljer.

Mange som har ansvar for systemer og databehandling mangler nødvendig GDPR-kunnskap, og det kan gjøre det vanskelig å dokumentere gode sikkerhetstiltak. Dette understreker behovet for både tydelige rutiner og støtteverktøy for at protokollen skal bli korrekt og fullstendig.

Eksempel:

• Tofaktorautentisering for ansatte
• Kryptering av filer og e-post
• Jevnlige sikkerhetskopier og gjenopprettingstester
• Årlig gjennomgang av IT-sikkerheten

Tiltakene skal stå i forhold til risikoen personopplysningene utgjør.

Hva skal protokollen inneholde? (For databehandlere)

Hvis dere behandler personopplysninger på vegne av andre (for eksempel som tjenesteleverandør), må dere føre en tilsvarende protokoll.

1. Navn og kontaktopplysninger

Her skal både deres og kundens informasjon fremgå.

Eksempel:
Databehandler: Driftspartner AS
Behandlingsansvarlig: Kundebedriften AS
Kontakt: personvern@driftspartner.no

Har dere flere kunder, skal hver enkelt behandles separat i protokollen.

2. Beskrivelse av behandlingen

For hver kunde må dere beskrive hva dere gjør med opplysningene deres.

Eksempel:

• Drift og vedlikehold av CRM-system
• IT-support og teknisk feilsøking
• Backup av kundens e-postsystem

Vær tydelig – det gir trygghet både for dere og kunden.

3. Overføringer til tredjeland og beskyttelsestiltak

Bruker dere underleverandører utenfor EU/EØS, må dette dokumenteres.

Eksempel:
Underleverandør: Helpdesk Inc, USA
Beskyttelse: Standardavtaler (SCC) og supplerende risikovurdering

Dette er viktig for å vise at dere etterlever GDPR ved outsourcing.

4. Sikkerhetstiltak

Beskriv hvilke organisatoriske og tekniske sikkerhetstiltak som er på plass – gjerne i tråd med ISO 27001 eller tilsvarende.

Eksempel:

• Fysisk adgangskontroll til serverrom
  
  
• Kryptering av datatrafikk
  
  
• Overvåking og logging av systemhendelser
  
  
• Rollebasert tilgangsstyring

I tillegg må dere ha databehandleravtaler med alle kunder, som beskrevet i artikkel 28 i GDPR.

Hva skjer hvis dere mangler en oppdatert behandlingsprotokoll?

Å mangle en oppdatert og komplett protokoll kan få alvorlige konsekvenser:

• Tilsyn og sanksjoner: Datatilsynet kan raskt avdekke mangler – og pålegge tiltak eller ilegge gebyrer
  
  
• Unødvendig tidsbruk: Uten struktur må ansatte lete etter informasjon manuelt
  
  
• Manglende risikostyring: Viktige risikoforhold kan gå under radaren
  
  
• Tapt tillit: Kunder og ansatte forventer at dere har kontroll på personopplysninger
  
  
• Økte kostnader: Å lage dokumentasjonen i ettertid er tidkrevende og dyrt

En god protokoll er derfor ikke bare et krav – den gir også bedre oversikt, effektivitet og tillit.

Excel og egenbygd løsning – eller et profesjonelt verktøy?

Mange starter i Excel – og det kan fungere fint i starten. Men etter hvert som antall behandlinger og databehandlere øker, oppstår utfordringer.

Fordeler med Excel og egne maler:

• Enkelt å komme i gang
  
  
• Full kontroll over struktur
  
  
• Ingen lisenskostnader
  
  
• Lett å dele internt

Utfordringer du bør være klar over:

• Vanskelig å holde oppdatert mellom ulike team
  
  
• Risiko for feil, gamle versjoner og tapt informasjon
  
  
• Ingen automatisk oppfølging
  
  
• Ikke koblet til øvrig personvernarbeid (som DPIA, informasjonsplikt osv.)

Med et profesjonelt verktøy får du:

• Bedre struktur og oversikt
  
  
• Automatiske påminnelser om oppdatering
  
  
• Færre feil og lavere risiko for sanksjoner
  
  
• Tidsbesparelser
  
  
• Økt trygghet og bedre sporbarhet

Behandlingsprotokoll – gjort enkelt og GDPR-sikkert

For å følge GDPR må dere ha oversikt over hvilke personopplysninger dere behandler – og hvorfor. Det krever en oppdatert og nøyaktig behandlingsprotokoll.

Men mange opplever at det er krevende. Det kan være vanskelig å holde dokumentasjonen oppdatert, få oversikt over hvilke systemer som behandler personopplysninger, og finne tid og ressurser i en travel hverdag.

Alt dette gjør det utfordrende å sikre at behandlingsprotokollen faktisk fungerer som en pålitelig informasjonskilde.

Med vår løsning får du:

• Full oversikt over alle behandlingsaktiviteter
  
  
• Tydelig fordeling av ansvar
  
  
• Automatiske varslinger
  
  
• All dokumentasjon samlet på ett sted

Book en demo – og se hvor enkelt det kan være å få kontroll på personvernarbeidet.