Kontakt i dag

Følg vårt nyhetsbrev

Linkedin

Prospekteringslister og GDPR – gull eller felle?

Etterlevelse//Implementering//Personvern (GDPR)
I det øyeblikket informasjonen kombineres, har virksomheten opprettet en ny behandlingsaktivitet.
Hva sier GDPR om prospekteringslister fra åpne kilder som Brreg og LinkedIn?»

Lister kan være gull – men bare når de brukes ryddig.

Lister med kontaktdata er et uvurderlig verktøy for salg og prospektering. Men hva sier GDPR når informasjon hentes fra åpne kilder som Brønnøysundregistrene, Proff, LinkedIn, 1881 og ulike hjemmesider – og deretter kombineres – da oppstår nye juridiske og etiske problemstillinger. GDPR gjelder fortsatt, selv når data er «offentlig publisert».

I denne artikkelen forklarer vi hva virksomheter må vite, hvilke fallgruver de må unngå, og hvordan de kan bruke lister på en smart og lovlig måte. Vi ser også på ekstreme eksempler – fra Telenor i Myanmar til 23andMe i USA – som viser hva som kan skje når kontrollen glipper.

Hvorfor bedrifter elsker lister? 

For de fleste små og mellomstore bedrifter er lister en nøkkel til vekst. En god ringeliste eller e-postliste kan åpne dører til nye kunder, spare tid og øke salget.

  • Cold calling: direkte og effektivt.
  • E-postkampanjer: billig, målrettet og målbar respons.
  • CRM-lister: gir struktur, oppfølging og systematikk.

Problemet er at «lista» sjelden er så ren og ryddig som man kunne ønske. Den bygges gjerne opp ved å hente informasjon fra mange forskjellige åpne kilder – Brønnøysundregistrene, Proff, LinkedIn, Facebook, 1881, firmahjemmesider – og settes sammen til en egen database.

I det øyeblikket informasjonen kombineres, har virksomheten opprettet en ny behandlingsaktivitet. Dermed gjelder GDPR i fullt monn.

Offentlig tilgjengelig = fritt frem? 

En utbredt misforståelse er at informasjon publisert åpent ikke lenger omfattes av personvernreglene.
GDPR artikkel 4 definerer personopplysninger som enhver opplysning om en identifisert eller identifiserbar fysisk person. Det gjelder uavhengig av om opplysningene ligger åpent på internett eller er gjemt bak en innlogging.

  • At en e-postadresse ligger på en bedriftsside, gjør den ikke «fri for GDPR».
  • At en LinkedIn-profil er åpen, betyr ikke at man kan kopiere innholdet inn i en salgsliste uten vurdering.
  • Også opplysninger publisert indirekte (f.eks. «kontaktperson for regnskap» på en firmaside) er persondata.

👉 Konklusjon: Offentlig = tilgjengelig. Ikke = fritt frem.

Særlige kategorier – når publisering er gjort av personen selv 

Sensitive opplysninger (legning, religion, helse, politisk ståsted) er regulert av GDPR art. 9.
Her finnes et viktig unntak: behandling kan skje dersom opplysningene åpenbart er offentliggjort av den registrerte selv.

Eksempel:

  • En politiker skriver på sin åpne blogg at hun lever med diabetes.
  • En skuespiller står frem i et intervju om sin seksuelle orientering.

Dette åpner for at opplysningen kan brukes – men kun innenfor rimelige og nødvendige rammer. At et forsikringsselskap utnytter dette til å avvise kunden, vil fortsatt være ulovlig diskriminering.


👉 Med andre ord: Publisering fjerner ikke GDPR-vernet, men det gir et særskilt unntak dersom opplysningen brukes på en forsvarlig måte.

Når kombinasjon blir ny behandling

Å hente litt fra Brønnøysundregistrene, litt fra LinkedIn og litt fra 1881 kan virke uskyldig. Men i det øyeblikket du setter det sammen i en ny liste, har du:

  • Skapt en ny behandlingsaktivitet.
  • Blitt ansvarlig for dokumentasjon (Art. 30-protokoll).
  • Fått plikt til å informere de registrerte (Art. 14).


Som behandlingsansvarlig må du derfor kunne svare på:

  1. Hva er formålet med lista?
  2. Hvilket rettslig grunnlag har du? (samtykke, berettiget interesse, kundeforhold).
  3. Hvordan håndterer du rettigheter som innsyn, retting og sletting?

Risikoer ved prospekteringslister

Å jobbe ustrukturert med lister innebærer flere risikoer:

  • Feil formål: Informasjon lagt ut for kundeservice brukes til reklame.
  • Spam og ulovlig markedsføring: e-postutsendelser uten samtykke.
  • Manglende sporbarhet: du klarer ikke forklare kilden når noen spør.
  • Utdatert informasjon: skaper irritasjon og omdømmeskade.
  • Diskriminering: hvis du lagrer sensitive data og bruker dem i segmentering.

Case 1: Telenor i Myanmar – når data blir livsfarlige

Da Telenor solgte sin virksomhet i Myanmar, fulgte millioner av abonnenters metadata med. Disse ble senere brukt av militærjuntaen til å spore opp og arrestere aktivister – i noen tilfeller med tortur og henrettelser som resultat.
Dette er et ekstremt eksempel, men det viser hva som kan skje når lister og databaser med persondata havner hos aktører med helt andre formål enn de opprinnelig ble samlet for.

Lærdom: Når kontrollen over data går tapt, kan konsekvensene være katastrofale.

Case 2: 23andMe – når DNA blir konkursbo

23andMe samlet genetiske prøver fra millioner av privatpersoner for slektskaps- og helsetester. Da selskapet gikk konkurs i 2025, ble databasen en del av konkursboet – og dermed potensiell handelsvare.

Risikoen: genetisk informasjon kan brukes til diskriminering i forsikring og arbeidsliv, eller til politisk og etterretningsmessig overvåkning.

Lærdom: Selv selskaper som fremstår som seriøse og innovative kan havne i situasjoner der data flyttes til helt andre hender.

Praktiske råd – slik bruker du lister smart

  1. Kartlegg kildene. Noter hvor dataene kommer fra (Brreg, Proff, LinkedIn osv.).
  2. Definer formålet. Prospektering er ok, men må være tydelig avgrenset.
  3. Finn rettslig grunnlag. Ofte «berettiget interesse», men krever en balansert vurdering.
  4. Informer tydelig. Vær åpen om hvor du har funnet dataene og hvordan du bruker dem.
  5. Tilby opt-out. Gi alltid mulighet til å reservere seg mot videre henvendelser.
  6. Hold lista ren. Slett gamle og irrelevante data jevnlig.
  7. Bruk sikre systemer. Ikke lagre i løse Excel-ark – bruk CRM med tilgangsstyring.
  8. Tenk worst case. Hva hvis dataene på lista blir lekket eller solgt?

Sjekkliste for virksomheter

SpørsmålJa/NeiTiltak
Har vi oversikt over hvor alle opplysninger i lista kommer fra?Dokumentér kilde
Har vi dokumentert formål og rettslig grunnlag?Balansetesten / samtykke
Kan vi svare en registrert på «hvor fikk dere infoen fra»?Innfør rutine
Har vi slettefrister for listene?Oppdater i CRM
Brukes system med tilgangskontroll?Bytt fra Excel til CRM
Har vi opt-out/avmeldingsløsning?Legg til i e-postsystem

Svarer dere NEI på en eller flere av spørsmålene ovenfor, ikke nøl – ta kontakt med oss for en uforpliktende prat.

Oppsummering

Lister er kraftige verktøy for salg og markedsføring. Men å hente data fra åpne kilder er ikke en fribillett – GDPR gjelder fortsatt.

  • Offentlig = tilgjengelig, ikke fritt frem.
  • Kombinasjon = ny behandling, med nye plikter.
  • Risikoen for misbruk øker jo mer du samler og mikser.

Ved å være ryddig og transparent kan du både drive effektivt salg og bygge tillit.

Og husk: historiene fra Telenor og 23andMe viser at når persondata kommer på avveie, kan konsekvensene bli langt mer alvorlige enn en irritert kunde.

👉 Godt personvern er også god forretning.

Forfatter

Del gjerne
Picture of Erik Horn

Erik Horn

Ta over kontrollen

Ta et møte med oss og fa en skreddersydd plan
Avtal møte
Flere artikler
Her kommer det flere artikler. Meld deg gjerne på mitt nyhetsbrev for å bli varslet på alt som er nytt i GDPR verdenen.
Kontakt