GDPR – personvernforordningen – har vært norsk lov siden 2018 gjennom personopplysningsloven, og stiller krav til alle virksomheter som behandler personopplysninger. For markedsførere er regelverket spesielt relevant: informasjonskapsler, analyseverktøy, annonsemålretting og nyhetsbrev innebærer alle behandling av opplysninger som kan knyttes til enkeltpersoner.
Samtidig har både regelverket og håndhevingen utviklet seg. I Norge stiller den nye ekomloven, som trådte i kraft i 2025, strengere krav til samtykke for informasjonskapsler, og Google krever Consent Mode v2 av annonsører som vil bruke personalisert annonsering mot brukere i EØS. Det som var god nok praksis for noen år siden, er det ikke nødvendigvis lenger.
Denne artikkelen gir en oversikt over de viktigste kravene sett fra et markedsføringsperspektiv. Den er ment som informasjon, ikke juridisk rådgivning – personvernretten er omfattende, og er du i tvil om hva som gjelder for din virksomhet, bør du søke juridisk bistand eller se Datatilsynets veiledere.
Behandlingsgrunnlag: fundamentet for all behandling
All behandling av personopplysninger krever et behandlingsgrunnlag etter GDPR artikkel 6. For markedsføring er de mest aktuelle grunnlagene samtykke og berettiget interesse. Samtykke må være frivillig, spesifikt, informert og utvetydig – og det skal være like enkelt å trekke tilbake som å gi. Berettiget interesse kan etter en konkret vurdering være aktuelt for enkelte formål, men krever en dokumentert interesseavveining der hensynet til den enkelte veies mot virksomhetens behov. Hvilket grunnlag som er riktig, avhenger av situasjonen, og her trår mange feil ved å anta i stedet for å vurdere.
Åpenhet og personvernerklæring
De registrerte skal få tydelig informasjon om hva som samles inn, til hvilke formål, med hvilket grunnlag, hvor lenge opplysningene lagres og hvem de deles med. I praksis løses dette gjennom en personvernerklæring som er lett å finne, skrevet i klart språk og faktisk oppdatert når dere endrer verktøy eller praksis. En vanlig fallgruve er at erklæringen beskriver gårsdagens oppsett – nye sporingsskript og tredjepartstjenester legges til på nettstedet uten at noen oppdaterer informasjonen. Sett gjerne en fast rutine for å sjekke samsvaret mellom det erklæringen sier og det nettstedet faktisk gjør.
Informasjonskapsler og samtykkebanner
Informasjonskapsler og lignende sporingsteknologi reguleres i Norge av ekomloven. Etter lovendringen som trådte i kraft i 2025, kreves det som hovedregel et samtykke som oppfyller GDPR-standarden for alt som ikke er strengt nødvendig for å levere tjenesten. I praksis betyr det at forhåndsavkryssede bokser og bannere der «avvis» er gjemt bort, vanskelig lar seg forsvare. Samtykkene bør dokumenteres, og mange nettsteder har tredjepartsskript som setter informasjonskapsler uten at eieren er klar over det – en teknisk gjennomgang er derfor et fornuftig sted å starte.
Consent Mode v2 og samtykkevennlig måling
For deg som driver med Google-annonsering eller bruker Google Analytics, er Consent Mode v2 blitt en praktisk nødvendighet: Google krever signalene for å tilby personalisert annonsering og remarketing mot brukere i EØS. Løsningen sørger for at Googles verktøy respekterer valgene brukerne gjør i samtykkebanneret. Vær samtidig oppmerksom på at tekniske løsninger som server-side sporing ikke endrer de rettslige pliktene – hva som er lov å samle inn, styres av samtykket og behandlingsgrunnlaget, ikke av hvor dataene rent teknisk flyter.
De registrertes rettigheter
Enkeltpersoner har en rekke rettigheter du må kunne håndtere: innsyn i hvilke opplysninger du har om dem, retting av feil, sletting, begrensning av behandlingen og dataportabilitet. Særlig relevant for markedsførere er retten til å protestere mot direktemarkedsføring – en slik protest skal etterkommes. Henvendelser skal besvares uten ugrunnet opphold og som hovedregel innen en måned. Sørg for at dere har rutiner for dette før forespørselen kommer, ikke etter.
Ansvarlighet, avtaler og overføring ut av EØS
GDPR bygger på et ansvarlighetsprinsipp: du skal ikke bare følge reglene, men kunne dokumentere at du gjør det. Det innebærer blant annet oversikt over behandlingsaktiviteter, databehandleravtaler med leverandører som behandler opplysninger på dine vegne – analyseverktøy, e-postplattformer, webhotell – og et gyldig overføringsgrunnlag hvis data sendes ut av EØS. Overtredelser kan etter forordningen sanksjoneres med gebyr på inntil 20 millioner euro eller fire prosent av global årsomsetning, avhengig av hva som er høyest. For store nettsteder er selve kartleggingen av skjemaer, skript og tredjepartstjenester en betydelig jobb; agentiske arbeidsflyter kan gjøre slik gjennomgang langt mer systematisk, men vurderingene bør alltid kvalitetssikres av mennesker – og ved tvil av jurist.
Oppsummering
Kravene til GDPR og personvern handler i praksis om noen få grunnprinsipper: ha et gyldig behandlingsgrunnlag, innhent reelle samtykker der det kreves, informer åpent, respekter de registrertes rettigheter og dokumenter det du gjør. For markedsførere betyr dagens virkelighet i tillegg et samtykkebanner som holder mål og Consent Mode v2 i annonseoppsettet. Og til slutt: Dette er en informativ oversikt, ikke juridisk rådgivning. Er du usikker på hvordan reglene treffer akkurat din virksomhet, bør du søke juridisk bistand.
Slik jobber Marketin agentisk med dette
Å sikre GDPR-etterlevelse på et stort nettsted betyr å gjennomgå mange sider, skjemaer og tekster. Med agentiske arbeidsflyter kan vi kartlegge og forbedre slike elementer i stor skala – arbeid som tradisjonelt tar uker leverer vi typisk på dager. Det knytter personvernarbeid til vår pilar for agentisk utvikling.
Les mer om Agentisk utvikling, eller be om en uforpliktende gjennomgang.
Usikker på om nettsiden din følger reglene? Start med en bedriftsanalyse til 5 000 kr.
Ta kontakt












