Hjem / sArtikkel / GDPR og personvern i CRM: hva du må vite

GDPR og personvern i CRM: hva du må vite

18, mars, 2026

Et CRM blir fort «sannheten» om kundene dine. Kontakter, dialog, avtaler, møter, e‑posthistorikk og sporing fra nettsiden havner ofte på samme sted. Da blir CRM også et av systemene der feil kan koste mest – både i tillit og i tid brukt på opprydding.

Portrait group of business people conversation at 2026 01 11 09 26 24 utc - GDPR og personvern i CRM: hva du må vite
Innholdsfortegnelse

Under får du en CRM‑spisset oversikt over hva GDPR krever i praksis, med konkrete tiltak og en sjekkliste du kan bruke i egen organisasjon. Trenger du en grunnforklaring på CRM først, se Hva er et CRM-system og hvordan brukes det?.

Umiddelbare tiltak (gjør dette i dag)

  • Slå av eller begrens tilgang for alle som ikke faktisk trenger CRM‑data (rollebasert tilgang).
  • Finn ut hvilke integrasjoner som henter/skyver persondata inn og ut (nyhetsbrev, skjema, kundeservice, analyse).
  • Sjekk at CRM har samtykkelogging og enkel avmelding/tilbaketrekking.
  • Lag en enkel sletterutine: hva slettes når, og hvem eier jobben.
  • Avtal hvem som håndterer innsyn/sletting (DSAR) og hvordan dere svarer innen frist.

Kort om regelverket i Norge: GDPR og personopplysningsloven

GDPR (personvernforordningen) gjelder i Norge gjennom personopplysningsloven. I CRM‑hverdagen betyr det at dere må ha kontroll på:

  • rettslig grunnlag (GDPR art. 6)
  • særskilte kategorier/sensitive data (art. 9)
  • innebygd personvern og personvern som standard (art. 25)
  • varsling ved brudd innen 72 timer (art. 33, og noen ganger art. 34)
  • DPIA ved høy risiko (art. 35)
  • sanksjoner (art. 83: opptil 20 mill. EUR / 4 % eller 10 mill. EUR / 2 %, avhengig av type brudd)

For en kort, norsk oppsummering av GDPR, se NHO sin forklaring: Hva er GDPR og personvernforordningen? (NHO)

Hva regnes som personopplysninger i CRM?

I et CRM er «personopplysninger» sjelden bare navn og e‑post. Typiske eksempler:

  • navn, e‑post, telefon, stillingstittel
  • kontaktperson i B2B (ja, dette er personopplysninger)
  • kundehistorikk: tilbud, kjøp, supporthenvendelser, notater
  • kommunikasjon: e‑postlogg, møtenotater, opptak (hvis dere lagrer det)
  • identifikatorer: kundekort-ID, bruker-ID, enhets-ID
  • IP‑adresse, sporing/atferd (f.eks. sidevisninger) hvis det knyttes til en person/profil
  • segmenter og scoring (f.eks. «høy kjøpssannsynlighet»)

Særskilte kategorier (ofte kalt sensitive data) er ekstra risikabelt i CRM. Det kan være helseopplysninger, politisk ståsted, fagforeningsmedlemskap osv. Hovedregelen er: ikke lagre slikt i CRM med mindre dere har et klart behov og riktig hjemmel.

NHO har en praktisk definisjon og eksempler her: Hva er personopplysninger? (NHO)

Rettslig grunnlag i CRM: samtykke vs. berettiget interesse

I CRM handler valg av behandlingsgrunnlag ofte om markedsføring og salgsoppfølging.

Samtykke (GDPR art. 6)

Brukes typisk når dere sender:

  • nyhetsbrev til privatpersoner (B2C)
  • markedsføring basert på sporing/profilering
  • kommunikasjon der regelverket eller praksis tilsier opt‑in

Krav til samtykke: frivillig, spesifikt, informert og aktivt. Og dere må kunne dokumentere det.

Berettiget interesse (GDPR art. 6)

Kan passe bedre når dere:

  • følger opp eksisterende kundeforhold
  • gjør normal B2B‑salgsoppfølging mot relevante roller
  • har en rimelig forventning hos den registrerte og lav personvernrisiko

Men: dere må gjøre en interesseavveiing (LIA). Og dere må gi tydelig informasjon og enkel reservasjonsmulighet.

Profilering og målretting

Hvis CRM brukes til scoring, segmentering eller automatiserte anbefalinger, øker risikoen. Da blir det viktigere med:

  • tydelig formål og dokumentasjon
  • dataminimering (ikke samle «kjekt å ha»-felt)
  • vurdering av DPIA ved høy risiko (mer under)

Samtykke i praksis for CRM (loggbarhet og sporbarhet)

CRM-et bør kunne lagre minst dette per samtykke:

  • hvem: kontakt-ID/person
  • hva: formål (f.eks. «nyhetsbrev», «invitasjoner», «tilpassede tilbud»)
  • hvordan: kanal/kilde (skjema, event, muntlig + etterbekreftelse)
  • når: dato/tid
  • bevis: tekstversjon/lenke til samtykketeksten som gjaldt da
  • status: aktivt/tilbaketrukket + tidspunkt

Kort eksempel på samtykketekst (kan tilpasses): > Jeg ønsker å motta nyhetsbrev på e‑post fra [Virksomhet]. Jeg kan når som helst melde meg av via lenken i e‑postene. Les mer i personvernerklæringen.

Dokumentasjon og styring: datakart, behandlingsregister og roller

CRM blir ofte navet i behandlingsaktivitetene deres. Da må dere ha orden på roller og dokumentasjon.

  • Behandlingsansvarlig: dere (virksomheten) bestemmer formål og midler.
  • Databehandler: CRM‑leverandøren (og ofte driftspartneren) behandler data på deres vegne.
  • Personvernombud (DPO): aktuelt for noen virksomheter, men uansett bør noen eie personvernarbeidet.

Behandlingsregister (GDPR art. 30) – hva bør med for CRM?

Minimum i en CRM‑oppføring:

  • formål (salg, kundeservice, markedsføring)
  • kategorier registrerte (leads, kunder, kontaktpersoner)
  • kategorier data (kontaktdata, historikk, samtykke, scoring)
  • mottakere (integrasjoner, e‑postleverandør, BI‑verktøy)
  • overføring utenfor EØS (ja/nei, mekanisme)
  • slettefrister/lagringspolicy
  • sikkerhetstiltak (tilgang, logging, kryptering)

DPA (databehandleravtale) – sjekk at dette står der

Punkt Hvorfor det betyr noe
Formål og instruks Leverandøren kan ikke bruke data til egne formål
Underleverandører Dere må vite hvem som faktisk behandler data
Sikkerhetstiltak Skal beskrives (teknisk og organisatorisk)
Bruddvarsling Tidslinje og ansvar ved avvik
Bistand ved DSAR Leverandøren må hjelpe ved innsyn/sletting/eksport
Retur/sletting ved opphør Hva skjer når dere bytter system?

Tekniske og organisatoriske tiltak for CRM‑sikkerhet

Et «GDPR‑vennlig» CRM handler mindre om et stempel, og mer om konkrete kontroller:

  • Rollebasert tilgang (RBAC): salg ser salg, support ser support.
  • Minimering: bare felter dere faktisk trenger.
  • Kryptering: i transport og helst også lagret (avhenger av løsning).
  • Logging/audit trail: hvem så hva, hvem endret hva.
  • Sletting og anonymisering: støtte for automatisert sletteløp og sperring.
  • Eksport: maskinlesbar eksport ved innsyn/portabilitet.
  • Backup og gjenoppretting: rutiner som ikke gjør sletting umulig i praksis.
  • Hendelseshåndtering: plan for brudd + intern varsling.

Personvern som standard og «innebygd personvern» er et krav i GDPR art. 25. Digdir har en nyttig norsk gjennomgang av prinsippet: Bygg inn personvern og ha personvern som standardinnstilling (Digdir)

Tredjepartsintegrasjoner, skytjenester og overføring utenfor EØS

CRM blir sjelden stående alene. Typiske risikopunkter:

  • skjema på nettside → CRM
  • nyhetsbrev/marketing automation ↔ CRM
  • kundeserviceverktøy ↔ CRM
  • analyse/remarketing ↔ CRM

For hver integrasjon bør dere kunne svare:

  • Hvilke data deles?
  • Hvem er databehandler/underleverandør?
  • Ligger data i eller utenfor EØS?
  • Har vi databehandleravtale og kontroll på underleverandører?

Ved overføring utenfor EØS kan det kreves overføringsmekanisme som SCC (Standard Contractual Clauses) og supplerende tiltak. Dette er et område dere bør dokumentere godt før dere skrur på nye integrasjoner.

DPIA (risikovurdering) for CRM‑bruk

DPIA (art. 35) blir aktuelt når CRM‑bruken kan gi høy risiko for personers rettigheter. Typiske triggere:

  • omfattende profilering/scoring som påvirker tilbud eller behandling
  • stor skala behandling over tid
  • bruk av sensitive data (art. 9) eller data om sårbare grupper
  • ny teknologi eller nye kombinasjoner av datasett (inkl. AI‑funksjoner)

En enkel CRM‑DPIA i fem steg:

  1. Beskriv behandlingen (hva, hvem, hvor, integrasjoner).
  2. Begrunn nødvendighet og forholdsmessighet (hvorfor trenger dere dette?).
  3. Kartlegg risiko (misbruk, feil segmentering, uautorisert tilgang).
  4. Tiltak (minimering, pseudonymisering, tilgang, logging, rutiner).
  5. Godkjenning og oppfølging (ansvarlig, dato, revisjon).

For AI og personvernproblemstillinger (ofte relevant ved scoring og automatisering), kan denne være nyttig som bakgrunn: AI og personvern: hva norske bedrifter må vite (AiAutomate)

Håndtering av registrertes rettigheter i CRM (DSAR)

CRM må støtte at dere kan levere på rettighetene, i praksis:

Portrait of a attractive business woman in a busin 2026 01 09 11 10 39 utc - GDPR og personvern i CRM: hva du må vite
  • Innsyn: hva dere har lagret, formål, mottakere.
  • Retting: oppdatere feil data.
  • Sletting: når vilkår er oppfylt. Husk sperring der dere må beholde noe av lovhensyn.
  • Dataportabilitet: relevant når grunnlaget er samtykke/avtale og behandlingen er automatisert.
  • Frist: normalt innen én måned.

Praktisk problem: sletting vs. backup Sletting i CRM hjelper lite hvis dere har ukontrollerte eksporter, lokale Excel‑lister eller integrasjoner som «resynker» data tilbake. Lag en rutine som også dekker:

  • manuelle eksportfiler
  • synk til e‑post/kalender
  • integrasjoner med egne databaser
  • backup-policy (hvordan håndteres slettede data ved restore)

Kort mal: svar ved innsyn (DSAR) > Hei! Vi bekrefter mottak av din forespørsel om innsyn. For å sikre riktig utlevering kan vi be om en enkel identitetsbekreftelse. Vi svarer senest innen én måned.

Praktisk trinn‑for‑trinn sjekkliste for CRM‑etterlevelse

  • Kartlegg alle datatyper i CRM (felter, notater, vedlegg, e‑post, sporing).
  • Lag/oppdater behandlingsregister (art. 30) for CRM.
  • Avklar behandlingsgrunnlag per formål (salg, kundeservice, nyhetsbrev, målretting).
  • Rydd i samtykker:
  • legg inn formålsbaserte samtykker
  • fjern «gammel opt‑in uten bevis»
  • sørg for enkel avmelding og at tilbaketrekking logges
  • Gå gjennom databehandleravtale (DPA) med CRM‑leverandør + underleverandører.
  • Gjennomfør tilgangsrevisjon (roller, grupper, admin‑tilgang).
  • Skru på logging og definer hvem som følger opp avvik.
  • Sett slettefrister og automatiser sletting/anonymisering der mulig.
  • Dokumenter integrasjoner og dataflyt (API-er, plugins, synk).
  • Test DSAR-prosess: kan dere eksportere og slette innen frist?
  • Øv på brudd: hvem gjør hva, og hvordan dere håndterer 72‑timersfristen (art. 33).
  • Gi kort opplæring til brukere: hva kan stå i notatfelt, hva skal aldri lagres.

Korte eksempler fra CRM-hverdagen

B2B-salg (berettiget interesse) Dere legger inn en kontaktperson hos en potensiell kunde etter et møte eller en messe. Det kan ofte forsvares med berettiget interesse. Men dere må informere. Og dere bør unngå unødvendige private opplysninger i notatfelt.

Nyhetsbrev (samtykke) Nyhetsbrevlisten bygges via skjema. Samtykket må være aktivt og loggbart, og CRM bør lagre hva personen faktisk sa ja til.

AI-scoring i CRM (DPIA-vurdering) Dere bruker historikk til å gi leads en score og trigge automatiske løp. Da bør dere vurdere DPIA, forklare logikken på et nivå folk forstår. Og sikre at noen kan overstyre automatiske valg.

Ressurser (autoritative lenker)

Vanlige spørsmål (FAQ)

Gjelder GDPR for CRM-data i alle virksomheter i Norge?

Ja, hvis dere behandler personopplysninger. Det gjelder også små virksomheter og også B2B‑kontakter når dere lagrer opplysninger om enkeltpersoner.

Når må jeg bruke samtykke i CRM, og når kan jeg bruke berettiget interesse?

Samtykke er vanlig for nyhetsbrev og sporing/målretting. Berettiget interesse kan passe for normal oppfølging i et kundeforhold og noe B2B‑salg, men krever interesseavveiing og reservasjonsmulighet.

Hvordan dokumenterer jeg samtykke i CRM på en måte Datatilsynet godtar?

Dere må kunne vise hvem som samtykket, når, hvordan, til hvilket formål. Og hvilken samtykketekst som gjaldt. Samtykket må også kunne trekkes tilbake like enkelt som det ble gitt.

Hva må en databehandleravtale (DPA) med CRM-leverandør inneholde?

Den må regulere behandlingen på deres instruks, sikkerhetstiltak, bruk av underleverandører, bistand ved innsyn/sletting, bruddvarsling og sletting/retur når avtalen avsluttes.

Når skal jeg gjennomføre en DPIA for CRM-bruk?

Når behandlingen kan gi høy risiko, typisk ved omfattende profilering, scoring, stor skala behandling, sensitive data eller ny teknologi/AI‑bruk på CRM‑data.

Hva gjør jeg ved et databrudd i CRM, hvem må varsles og innen hvilken frist?

Dere må håndtere avvik raskt, dokumentere det. Og i mange tilfeller melde til tilsynsmyndighet innen 72 timer (GDPR art. 33). I noen tilfeller må også berørte personer varsles (art. 34).

Kan jeg bruke e-postadresser fra B2B-kontakter til markedsføring uten samtykke?

Noen former for B2B‑kontakt kan baseres på berettiget interesse. Men dere må vurdere forventning, relevans og gi enkel reservasjonsmulighet. For nyhetsbrev-lignende utsendelser er samtykke ofte den tryggeste løsningen.

Hvordan sletter eller anonymiserer jeg CRM-data uten å bryte bokførings- eller andre lover?

Skill mellom CRM og regnskapspliktige data. Ofte kan dere slette kontakt- og markedsføringsdata i CRM, men beholde nødvendige transaksjonsdata i økonomisystemet. Bruk sperring og tydelige sletterutiner.

Hvilke tekniske tiltak bør mitt CRM-system tilby for å være GDPR-vennlig?

Rollebasert tilgang, logging, eksport, slettefunksjon/anonymisering, samtykkestyring, tilgang til databehandlerinfo og kontroll på integrasjoner er kjernen.

Hva kreves ved overføring av CRM-data til leverandører utenfor EØS?

Dere må kartlegge overføringen, sikre gyldig overføringsgrunnlag (ofte SCC) og vurdere supplerende tiltak. Dokumenter vurderingene.

Neste steg

Hvis du vil gjøre dette konkret: be om en CRM‑GDPR‑sjekkliste som PDF og bruk den i en intern gjennomgang (1–2 timer). Alternativt kan dere få en enkel, uforpliktende «CRM personvern‑scan» der dere går gjennom samtykke, integrasjoner, DPA og sletterutiner.

Strukturert data (JSON-LD)

Merket:
Jonas Hansen

Related Posts

A green figure at the center surrounded by blue fi 2026 01 08 08 17 15 utc - Slik løser du samarbeidsproblemer på jobb
Slik løser du samarbeidsproblemer på jobb
18, mars, 2026
Abstract crowd silhouette on city background succ 2026 01 11 08 33 30 utc - Hva er forskjellen på samspill, samhandling og relasjon?
Hva er forskjellen på samspill, samhandling og relasjon?
18, mars, 2026
Celebration of divercity in community 2026 01 05 00 23 46 utc - Hva er relasjonskompetanse?
Hva er relasjonskompetanse?
18, mars, 2026

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *