Choose language

Skap oversikt og struktur i behandlingsprotokollen – uten ekstra arbeid

Få full kontroll på alle behandlingsaktiviteter – fra ansvar og risikovurderinger til nødvendig dokumentasjon. Oppdateringen av protokollen skjer fortløpende i en strukturert løsning som gir oversikt, minimerer feil og gjør deg revisjonsklar når som helst.

Skjermbilde 2025-11-12 kl. 14.23.44
Se hvordan løsningen fungerer i praksis

En smartere måte å holde behandlingsprotokollen oppdatert

Å holde styr på personopplysninger i regneark tar tid – og skaper risiko. Med vår behandlingsprotokoll blir det enkelt å samle, vedlikeholde og dokumentere alt du trenger for å oppfylle artikkel 30 i GDPR.

graphics-full_control_and_clarity

Dokumenter alt – uten å miste oversikten

Få en klar oversikt over alle behandlingsaktiviteter, hva status er og hvem som har ansvar. Løsningen viser hvilke prosesser som er oppdatert og hvor det mangler informasjon, slik at dokumentasjonen alltid følger GDPR-kravene. 

graphics-smart_automation

La systemet hjelpe deg – med automatiske påminnelser

Systemet sier ifra når noe må oppdateres eller vurderes. Du får en forutsigbar arbeidsflyt, vet alltid hva som trenger oppfølging, og behandlingsprotokollen holdes løpende i tråd med regelverket.

graphics-easy_collaboration

Revider på en enkel måte – sammen med kollegene dine

Del ansvar, dokumentasjon og endringer direkte i løsningen. Alle får tilgang til oppdatert informasjon, noe som gjør revisjoner enklere og reduserer risikoen for både dobbeltarbeid og misforståelser.

protokoll_v2

Gjør personvernarbeidet enklere – hver eneste dag

Protokollen gir deg et ryddig og oppdatert bilde av virksomhetens behandlinger, uten ekstra administrasjon. Du sparer tid, unngår feil og kan dokumentere etterlevelse når du trenger det – uten frustrasjon og dobbeltarbeid.

 
 

En behandlingsprotokoll som gir deg kontroll på minutter, ikke måneder

Når protokollen er riktig bygget opp i et digital verktøy, får du kontroll, sparer tid og slipper usikkerhet i det daglige personvernarbeidet.

menu_book

Juridisk trygg

Få full kontroll på dokumentasjonen og trygghet i at alt er i tråd med GDPR. Du slipper usikkerhet og manuelle feil.

nest_clock_farsight_analog_200dp_1F1F1F_FILL0_wght200_GRAD0_opsz48

Spar tid

Automatiser oppdateringer og rapporter. Du slipper å samle informasjon fra ulike kilder og kan bruke tiden der den faktisk trengs.

display_settings

Lett å komme i gang

Enkel oppstart uten tekniske hindringer. Strukturen er klar – du fyller bare inn det som gjelder din virksomhet.

approval_delegation

Alltid oppdatert

Regelverket endrer seg – systemet holder deg oppdatert og sørger for at protokollen alltid reflekterer gjeldende krav.

Brukt av virksomheter over hele Norden for å forenkle personvernet

Med riktig verktøy blir det lett å dokumentere, oppdatere og ha full kontroll på behandlingsaktivitetene – uansett størrelse på virksomheten.

Vi oppdaterer behandlingsprotokollen fortløpende, siden vi gjennomfører ulike kurs og behandler personopplysninger forskjellig avhengig av kurs. Vi er også behandlingsansvarlig for egne ansatte, så det er viktig å holde protokollen ajour når rutiner og systemer endres. Verktøyet gir oss god oversikt, og vi har erfart at det er enkelt å hente ut rapporter når kunder ber om det.

Monica Renå Olsen

iFrontKarriere

Ofte stilte spørsmål om behandlingsprotokollen etter GDPR

Vi har samlet de vanligste spørsmålene virksomheter stiller om behandlingsprotokoll, fra hva den skal inneholde til hvordan du holder den oppdatert i tråd med GDPR.

En behandlingsprotokoll (eller oversikt over behandlingsaktiviteter) er en intern dokumentasjon som viser hvordan virksomheten behandler personopplysninger. Den viser formål, kategorier av opplysninger, rettslig grunnlag, mottakere, lagringsperioder og sikkerhetstiltak. Kravet er regulert i artikkel 30 i personvernforordningen (GDPR) og er et sentralt verktøy for å vise ansvarlighet etter artikkel 5 nr. 2.

Alle behandlingsansvarlige (den som bestemmer formålet med behandlingen) og databehandlere (den som behandler opplysninger på vegne av andre) er forpliktet til å føre en oversikt over behandlinger – også kalt behandlingsprotokoll. Virksomheter med færre enn 250 ansatte har et unntak, men dette gjelder kun dersom alle følgende vilkår er oppfylt (artikkel 30 nr. 5):

  • Behandlingen skjer bare unntaksvis (ikke løpende, som for eksempel personal- eller kundeadministrasjon)
  • Behandlingen er ikke sannsynlig å medføre risiko for de registrertes rettigheter og friheter
  • Behandlingen omfatter ikke særlige kategorier av personopplysninger (såkalte sensitive opplysninger som helse, religion, etnisk opprinnelse – se artikkel 9) eller opplysninger om straffbare forhold (artikkel 10)

I praksis innebærer dette at nesten alle virksomheter må ha en behandlingsprotokoll.

I henhold til artikkel 30 nr. 1 og 30 nr. 2 skal protokollen minst inneholde følgende informasjon:

For behandlingsansvarlige:

  • Navn og kontaktinformasjon til virksomheten og eventuelt personvernombud
  • Formålet med behandlingen
  • Kategorier av registrerte og typer personopplysninger
  • Mottakere eller kategorier av mottakere
  • Eventuelle overføringer til tredjeland eller internasjonale organisasjoner
  • Planlagte tidsfrister for sletting
  • En generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak

For databehandlere:

  • Navn og kontaktinformasjon til databehandleren, den behandlingsansvarlige og eventuelt personvernombud
  • Kategorier av behandlinger som utføres på vegne av den behandlingsansvarlige
  • Eventuelle overføringer til tredjeland
  • En generell beskrivelse av sikkerhetstiltak

Nei. Protokollen skal ikke sendes inn proaktivt, men skal kunne fremvises på forespørsel fra Datatilsynet (i henhold til artikkel 30 nr. 4). Det betyr at den skal oppbevares internt, men være tilgjengelig for tilsynsmyndigheten når de ber om det.

Kravet følger direkte av artikkel 30 i GDPR, og støttes av:

  • Artikkel 5 nr. 2 (ansvarlighet)
  • Artikkel 24 (den behandlingsansvarliges ansvar)
  • Artikkel 28 (databehandlerens ansvar)
Protokollen fungerer som dokumentasjon på at virksomheten behandler personopplysninger lovlig, korrekt og på en åpen måte.

Behandlingsprotokollen er en intern dokumentasjon som viser hvordan virksomheten faktisk behandler personopplysninger. Personvernerklæringen (også kalt personopplysningspolicy) er derimot et eksternt dokument som informerer de registrerte om hvordan opplysningene deres behandles, i tråd med artiklene 12–14. De to dokumentene må stemme overens, men har ulike formål – protokollen viser intern etterlevelse, mens personvernerklæringen oppfyller informasjonsplikten.

Det finnes ingen fast tidsfrist i loven, men protokollen skal alltid være oppdatert. Den skal endres hver gang behandlingen justeres – for eksempel når nye systemer tas i bruk, formål endres, eller nye mottakere legges til. Mange virksomheter gjennomfører en årlig gjennomgang som del av sitt personvernarbeid, noe Datatilsynet også anbefaler i sine veiledninger. 

Å mangle en korrekt eller oppdatert behandlingsprotokoll regnes som et brudd på artikkel 30 og artikkel 5 nr. 2, og kan føre til:

  • Pålegg eller advarsel fra Datatilsynet (i henhold til artikkel 58)
  • Overtredelsesgebyr på opptil 10 millioner euro eller 2 % av den globale årsomsetningen (artikkel 83 nr. 4.)
I tillegg risikerer virksomheten å ikke kunne dokumentere at den oppfyller sine plikter etter GDPR.

Ja. Artikkel 30 nr. 3 slår fast at protokollen skal være skriftlig og kan føres elektronisk.Det stilles ikke krav til et bestemt format eller en fast mal, men all informasjon som kreves etter artikkel 30 må inngå. Datatilsynet anbefaler at protokollen er strukturert, lett tilgjengelig og sporbar – gjerne i et digitalt system.

Behandlingsprotokollen er et sentralt grunnlag i virksomhetens personvernarbeid og brukes som utgangspunkt for flere andre plikter etter GDPR:

  • Risikovurderinger og konsekvensvurderinger (DPIA), artikkel 35
  • Databehandleravtaler, artikkel 28
  • Internkontroll og ansvar, artikkel 24
  • Sikkerhetstiltak, artikkel 32
  • Revisjon og tilsyn
Uten en oppdatert behandlingsprotokoll er det vanskelig å dokumentere faktisk etterlevelse av personvernforordningen.