Lister kan være gull – men bare når de brukes ryddig.
Lister med kontaktdata er et uvurderlig verktøy for salg og prospektering. Men hva sier GDPR når informasjon hentes fra åpne kilder som Brønnøysundregistrene, Proff, LinkedIn, 1881 og ulike hjemmesider – og deretter kombineres – da oppstår nye juridiske og etiske problemstillinger. GDPR gjelder fortsatt, selv når data er «offentlig publisert».
I denne artikkelen forklarer vi hva virksomheter må vite, hvilke fallgruver de må unngå, og hvordan de kan bruke lister på en smart og lovlig måte. Vi ser også på ekstreme eksempler – fra Telenor i Myanmar til 23andMe i USA – som viser hva som kan skje når kontrollen glipper.
Hvorfor bedrifter elsker lister?
For de fleste små og mellomstore bedrifter er lister en nøkkel til vekst. En god ringeliste eller e-postliste kan åpne dører til nye kunder, spare tid og øke salget.
- Cold calling: direkte og effektivt.
- E-postkampanjer: billig, målrettet og målbar respons.
- CRM-lister: gir struktur, oppfølging og systematikk.
Problemet er at «lista» sjelden er så ren og ryddig som man kunne ønske. Den bygges gjerne opp ved å hente informasjon fra mange forskjellige åpne kilder – Brønnøysundregistrene, Proff, LinkedIn, Facebook, 1881, firmahjemmesider – og settes sammen til en egen database.
I det øyeblikket informasjonen kombineres, har virksomheten opprettet en ny behandlingsaktivitet. Dermed gjelder GDPR i fullt monn.
Offentlig tilgjengelig = fritt frem?
En utbredt misforståelse er at informasjon publisert åpent ikke lenger omfattes av personvernreglene.
GDPR artikkel 4 definerer personopplysninger som enhver opplysning om en identifisert eller identifiserbar fysisk person. Det gjelder uavhengig av om opplysningene ligger åpent på internett eller er gjemt bak en innlogging.
- At en e-postadresse ligger på en bedriftsside, gjør den ikke «fri for GDPR».
- At en LinkedIn-profil er åpen, betyr ikke at man kan kopiere innholdet inn i en salgsliste uten vurdering.
- Også opplysninger publisert indirekte (f.eks. «kontaktperson for regnskap» på en firmaside) er persondata.
? Konklusjon: Offentlig = tilgjengelig. Ikke = fritt frem.
Særlige kategorier – når publisering er gjort av personen selv
Sensitive opplysninger (legning, religion, helse, politisk ståsted) er regulert av GDPR art. 9.
Her finnes et viktig unntak: behandling kan skje dersom opplysningene åpenbart er offentliggjort av den registrerte selv.
Eksempel:
- En politiker skriver på sin åpne blogg at hun lever med diabetes.
- En skuespiller står frem i et intervju om sin seksuelle orientering.
Dette åpner for at opplysningen kan brukes – men kun innenfor rimelige og nødvendige rammer. At et forsikringsselskap utnytter dette til å avvise kunden, vil fortsatt være ulovlig diskriminering.
? Med andre ord: Publisering fjerner ikke GDPR-vernet, men det gir et særskilt unntak dersom opplysningen brukes på en forsvarlig måte.
Når kombinasjon blir ny behandling
Å hente litt fra Brønnøysundregistrene, litt fra LinkedIn og litt fra 1881 kan virke uskyldig. Men i det øyeblikket du setter det sammen i en ny liste, har du:
- Skapt en ny behandlingsaktivitet.
- Blitt ansvarlig for dokumentasjon (Art. 30-protokoll).
- Fått plikt til å informere de registrerte (Art. 14).
Som behandlingsansvarlig må du derfor kunne svare på:
- Hva er formålet med lista?
- Hvilket rettslig grunnlag har du? (samtykke, berettiget interesse, kundeforhold).
- Hvordan håndterer du rettigheter som innsyn, retting og sletting?
Risikoer ved prospekteringslister
Å jobbe ustrukturert med lister innebærer flere risikoer:
- Feil formål: Informasjon lagt ut for kundeservice brukes til reklame.
- Spam og ulovlig markedsføring: e-postutsendelser uten samtykke.
- Manglende sporbarhet: du klarer ikke forklare kilden når noen spør.
- Utdatert informasjon: skaper irritasjon og omdømmeskade.
- Diskriminering: hvis du lagrer sensitive data og bruker dem i segmentering.
Case 1: Telenor i Myanmar – når data blir livsfarlige
Da Telenor solgte sin virksomhet i Myanmar, fulgte millioner av abonnenters metadata med. Disse ble senere brukt av militærjuntaen til å spore opp og arrestere aktivister – i noen tilfeller med tortur og henrettelser som resultat.
Dette er et ekstremt eksempel, men det viser hva som kan skje når lister og databaser med persondata havner hos aktører med helt andre formål enn de opprinnelig ble samlet for.
Lærdom: Når kontrollen over data går tapt, kan konsekvensene være katastrofale.
Case 2: 23andMe – når DNA blir konkursbo
23andMe samlet genetiske prøver fra millioner av privatpersoner for slektskaps- og helsetester. Da selskapet gikk konkurs i 2025, ble databasen en del av konkursboet – og dermed potensiell handelsvare.
Risikoen: genetisk informasjon kan brukes til diskriminering i forsikring og arbeidsliv, eller til politisk og etterretningsmessig overvåkning.
Lærdom: Selv selskaper som fremstår som seriøse og innovative kan havne i situasjoner der data flyttes til helt andre hender.
Praktiske råd – slik bruker du lister smart
- Kartlegg kildene. Noter hvor dataene kommer fra (Brreg, Proff, LinkedIn osv.).
- Definer formålet. Prospektering er ok, men må være tydelig avgrenset.
- Finn rettslig grunnlag. Ofte «berettiget interesse», men krever en balansert vurdering.
- Informer tydelig. Vær åpen om hvor du har funnet dataene og hvordan du bruker dem.
- Tilby opt-out. Gi alltid mulighet til å reservere seg mot videre henvendelser.
- Hold lista ren. Slett gamle og irrelevante data jevnlig.
- Bruk sikre systemer. Ikke lagre i løse Excel-ark – bruk CRM med tilgangsstyring.
- Tenk worst case. Hva hvis dataene på lista blir lekket eller solgt?
Sjekkliste for virksomheter
| Spørsmål | Ja/Nei | Tiltak |
| Har vi oversikt over hvor alle opplysninger i lista kommer fra? | Dokumentér kilde | |
| Har vi dokumentert formål og rettslig grunnlag? | Balansetesten / samtykke | |
| Kan vi svare en registrert på «hvor fikk dere infoen fra»? | Innfør rutine | |
| Har vi slettefrister for listene? | Oppdater i CRM | |
| Brukes system med tilgangskontroll? | Bytt fra Excel til CRM | |
| Har vi opt-out/avmeldingsløsning? | Legg til i e-postsystem |
Svarer dere NEI på en eller flere av spørsmålene ovenfor, ikke nøl – ta kontakt med oss for en uforpliktende prat.
Oppsummering
Lister er kraftige verktøy for salg og markedsføring. Men å hente data fra åpne kilder er ikke en fribillett – GDPR gjelder fortsatt.
- Offentlig = tilgjengelig, ikke fritt frem.
- Kombinasjon = ny behandling, med nye plikter.
- Risikoen for misbruk øker jo mer du samler og mikser.
Ved å være ryddig og transparent kan du både drive effektivt salg og bygge tillit.
Og husk: historiene fra Telenor og 23andMe viser at når persondata kommer på avveie, kan konsekvensene bli langt mer alvorlige enn en irritert kunde.
? Godt personvern er også god forretning.
Oppdatert (Jan 2026): AI, prospekteringslister og “kilde-problemet”
Denne artikkelen er skrevet på et generelt grunnlag: Prospekteringslister og GDPR er relevant uansett om materialet er samlet inn manuelt (les & tast), via API-integrasjoner, skrapt fra internett, kjøpt fra tredjepart – eller bygget med automatisering.
I lys av den økende bruken av AI for å “løse prospektering”, har jeg valgt å legge til denne presiseringen.
AI endrer ikke GDPR – men AI endrer praksis
AI gjør det enklere å:
- samle inn og kombinere flere datapunkter raskt
- berike lister og gjøre dem mer “treffsikre”
- segmentere, score og prioritere personer (ofte profilering)
- automatisere store deler av flyten
Dette endrer ikke lovverket, men det øker volumet og kompleksiteten – og dermed risikoen for at oversikt og kontroll glipper.
Den viktigste AI-fella: “AI er ikke en kilde”
Når noen sier “vi fikk dataene fra AI”, er det ofte en misvisende forklaring. AI er et verktøy som bearbeider data fra andre kilder.
Derfor blir det avgjørende at virksomheten fortsatt kan svare på:
Hvor kom personopplysningene faktisk fra?
Dette er særlig relevant når personopplysninger ikke er samlet inn direkte fra den registrerte, og virksomheten må gi informasjon i tråd med artikkel 14 (bl.a. om kilden eller kategorier av kilder).
AI og kvalitet: risiko for feil og “antakelser”
AI-verktøy kan “gjette” rolle, behov eller relevans – og blande sannsynlighet med fakta. Hvis slike antakelser lagres i prospekteringslister, kan dere ende med feil personopplysninger i stor skala.
Ha derfor en enkel rutine for:
- kvalitetssikring
- retting/sletting
- håndtering av innsigelser og innsyn
AI og profilering: når “smartere liste” blir mer inngripende
Hvis dere rangerer, scorer eller automatiserer utvalg basert på flere datapunkter, er dere ofte inne i profilering. Da bør dere vurdere ekstra nøye:
- Nødvendighet: Trenger vi disse datapunktene – eller er det bare “kjekt å ha”?
- Forholdsmessighet: Er inngrepet rimelig sett opp mot formålet?
- Åpenhet: Kan vi forklare hva vi gjør – på en måte folk forstår?
AI-sjekk før du tar en prospekteringsliste i bruk
- Kilder: Kan vi beskrive kildene (ikke “AI”, men faktisk hvor data kommer fra)?
- Dataminimering: Trenger vi alle datapunktene – eller kan vi klare oss med færre?
- Kvalitet: Hvordan fanger vi opp feil og “AI-antakelser” – og hvordan retter/sletter vi?
- Inngripen: Er dette bare en kontaktliste – eller scoring/profilering?
- Dokumentasjon: Har vi dokumentert vurderingene kort og praktisk (uten byråkrati)?
Kort oppsummert: AI kan gjøre prospektering raskere og mer presis. Men hvis dere ikke kan forklare og forsvare listene (kilder, vurderinger, kvalitet), har dere ikke “smart prospektering” – dere har en åpenhetsgjeld – og en klar GDPR risiko!
