GDPR-bøter i Norge — hva koster dårlig sladding?
Skrevet av Håkon Haugen
«Det skjer ikke oss.» Det tenkte sannsynligvis Østre Toten kommune også — før de fikk en regning på 4 millioner kroner fra Datatilsynet. GDPR-bøter i Norge er reelle, og de rammer kommuner, sykehus og private virksomheter. Her er de viktigste sakene — og hva du kan lære av dem.
De største GDPR-sakene i Norge
Grindr: 65 millioner kroner
Den norske datingappen Grindr fikk det største GDPR-gebyret i norsk historie — 65 MNOK (PVN-2022-22). Saken gjaldt utlevering av sensitive opplysninger om brukernes seksuelle orientering til tredjeparter for reklameformål, uten gyldig samtykke. Personvernnemnda opprettholdt Datatilsynets vedtak.
Østre Toten kommune: 4 millioner kroner
I 2021 ble Østre Toten kommune rammet av et løsepengevirusangrep som kompromitterte innbyggernes personopplysninger. Datatilsynet ila kommunen et gebyr på 4 MNOK (PVN-2022-13). Kjernen: mangelfulle sikkerhetstiltak — manglende risikovurdering, utilstrekkelig backup, svak tilgangsstyring.
Sykehuset Østfold: 500.000 kroner
Sykehuset Østfold fikk 500 000 kroner i gebyr for brudd på personopplysningssikkerheten (PVN-2021-16). Pasientlister ble lagret usikret, uten tilstrekkelige tekniske tiltak for å beskytte helseopplysninger. Helseopplysninger i arbeidsforhold er også et sårbart område — kan sjefen dele sykemeldingen din?
PVN-2023-30: Kommune publiserte usladdet dom
En kommune publiserte en dom uten å fjerne personopplysninger. Datatilsynet ga irettesettelse — et mildere virkemiddel enn gebyr, men et tydelig signal om at manglende sladding tas alvorlig.
KOFA-saker: Priser og timerater lekket i anbud
I KOFA-2021-2153 og KOFA-2020-666 ble leverandørers priser og timerater lekket — i forhandlingsmøter og gjennom tildelingsbrev. Selv om KOFA ikke ilegger GDPR-gebyr, kan slike brudd gi erstatningsansvar og konkurransevridning. Les mer i vår guide om sladding av tilbud i anbud.
Hva har sakene til felles?
- Manglende tekniske tiltak — GDPR art. 32 krever «egnede tekniske og organisatoriske tiltak». Svart felt i Word er ikke «egnet». Se «Svart felt er ikke sladding».
- Ingen risikovurdering — Art. 35 krever DPIA ved høy risiko. Mange kommuner har aldri gjennomført en. Les mer i personvern i små kommuner.
- Manglende bevissthet — Saksbehandlere visste ikke at metodene de brukte var usikre.
Kan offentlige organer ilegges gebyr?
Ja. Personopplysningsloven § 26 fastslår at offentlige myndigheter kan ilegges overtredelsesgebyr. Østre Toten-saken beviser at dette ikke bare er teori.
GDPR artikkel 83 setter øvre ramme: opptil 20 millioner euro eller 4 % av årlig omsetning — det som er høyest. For norske kommuner er beløpene lavere i praksis, men 4 MNOK er nok til å merkes på budsjettet.
Slik unngår du å bli neste case
- Bruk verktøy som faktisk fjerner tekst — ikke bare dekker den visuelt. Se vår sammenligning av PDF-verktøy.
- Gjennomfør risikovurdering — Dokumenter hvilke personopplysninger dere behandler, og hvilke tiltak dere har.
- Opplær saksbehandlere — De vanligste feilene skyldes manglende kunnskap, ikke vond vilje. Se 5 sladde-tabber som har kostet dyrt.
- Test sladdet output — Åpne den ferdige filen, prøv Ctrl+A, Ctrl+C. Er teksten virkelig borte?
Unngå å bli neste case — sladd dokumentene riktig
Sladd fjerner personopplysninger permanent fra PDF-er — ikke bare visuelt. Alt skjer lokalt i nettleseren, uten at noe sendes til noen server. Automatisk deteksjon av fødselsnummer, navn, adresser og helseopplysninger.
Relaterte artikler
Lær når du skal sladde, når du kan sladde, og hvordan du gjør det riktig. Praktisk sjekkliste basert på offentleglova, forvaltningsloven og Sivilombudets praksis.
Kan man sladde for mye? Grensen mellom taushetsplikt og meroffentlighetKommunen har sladdet halve dokumentet. Har de lov til det? Om meroffentlighet, klagerett og Sivilombudets praksis når forvaltningen sladder for mye.
Kan du lime et vedtak inn i ChatGPT? Personopplysninger og AIDatatilsynet advarer mot å dele personopplysninger med AI-verktøy. Lær hva GDPR sier om ChatGPT, hva du kan dele, og hvordan du sladder trygt først.