GDPR-programvare koster i 2026 mellom omtrent 15 000 og 130 000 kroner i året for de fleste norske virksomheter, avhengig av størrelse og funksjonsbehov. Inngangsverktøy for behandlingsprotokoll, databehandleravtaler og avvikshåndtering ligger på 15 000–45 000 kroner i året (Legiscope, Dastra). Plattformer for mellomstore virksomheter koster 45 000–130 000 kroner i året (Vanta, TrustArc, Sprinto), mens foretakssuiter som OneTrust typisk starter på 250 000 kroner i året og kan passere én million for store konsern. I tillegg kommer ofte en engangskostnad til implementering på 20 000–200 000 kroner ved komplekse datamiljøer. Denne artikkelen bryter ned hva du faktisk betaler for, og hva som driver totalkostnaden.
Kostnaden bør alltid vurderes opp mot alternativet. Manuell etterlevelse binder hundrevis av interne timer i året, og Datatilsynets gebyrer – fra Trumfs 5 millioner til Grindrs 65 millioner kroner – gjør at et verktøy til noen titusen i året er en beskjeden forsikring.
Hva driver prisen på GDPR-programvare?
Prisen bestemmes sjelden av én faktor alene. De viktigste kostnadsdriverne er:
- Antall behandlinger og brukere. Flere behandlingsaktiviteter og flere interne brukere gir høyere pris, særlig hos foretakssuiter som prises per sete.
- Funksjonsdybde. Ren protokollføring er billig; KI-drevet avtalegjennomgang, DPIA-veiledning og hendelseshåndtering koster mer, men sparer flest timer.
- EU-hosting. Plattformer med data innenfor EØS fjerner behovet for kostbare overføringsvurderinger etter Schrems II.
- Norsk språk og lokal tilpasning. Verktøy med full norsk utdata reduserer intern oversettelses- og korrekturtid.
- Implementering. Malbaserte verktøy krever lite oppsett; foretakssuiter kan kreve 3–6 måneders implementering med tilhørende konsulentkostnad.
Prisnivåer i 2026
| Nivå | Årlig kostnad | Typiske verktøy | Passer for |
|---|---|---|---|
| Inngang / SMB | 15 000–45 000 kr | Legiscope, Dastra | 10–100 ansatte |
| Mellomstor | 45 000–130 000 kr | Vanta, TrustArc, Sprinto | 100–500 ansatte |
| Foretak | 250 000 kr+ | OneTrust | 500+ ansatte |
| Implementering (engang) | 20 000–200 000 kr | Alle nivåer | Komplekse datamiljøer |
Hva får du på hvert nivå?
Inngangsnivået dekker kjernepliktene: en strukturert behandlingsprotokoll, gjennomgang av databehandleravtaler, innsynsbegjæringer og avvikshåndtering med fristovervåking. For en typisk norsk SMB dekker dette de fleste faktiske behovene. Legiscope og Dastra ligger her, begge med EU-hosting.
Mellomnivået legger til bredere arbeidsflyter, flere integrasjoner og ofte støtte for andre rammeverk (SOC 2, ISO 27001). Vanta og Sprinto hører hjemme her, men GDPR er for begge en sekundær modul – dybden på protokoll og avtalegjennomgang er tynnere enn hos rene GDPR-plattformer.
Foretaksnivået gir maksimal bredde: samtykkehåndtering, leverandørrisiko, omfattende malbibliotek og integrasjoner mot bedriftssystemer. OneTrust dominerer her, men prisen og implementeringstiden gjør det overdimensjonert for de fleste norske virksomheter. Se vår direkte sammenligning av Legiscope og OneTrust.
Kostnaden ved ikke å ha verktøy
Manuell etterlevelse er ikke gratis – den er bare skjult. Bransjetall viser at det å vedlikeholde GDPR-pliktene uten programvare krever mellom 600 og 1 800 timer internt arbeid i året: regnearkbaserte protokoller, ad hoc-håndtering av innsynsbegjæringer og manuelle konsekvensvurderinger. Til en intern timekostnad på 600–900 kroner tilsvarer det fort flere hundre tusen kroner i året – langt mer enn et verktøy koster.
Til det kommer risikoen for gebyr. Datatilsynet kan ilegge inntil 20 millioner euro eller 4 prosent av global omsetning etter personopplysningsloven. SATS Norge fikk 10 millioner kroner for brudd på de registrertes rettigheter, og Oslo kommunes utdanningsetat fikk 2 millioner kroner i 2025 for sikkerhetsmangler i en skoleapp. Full oversikt finner du i vår gjennomgang av overtredelsesgebyr.
Regn ut din egen totalkostnad
En realistisk totalkostnad (TCO) over tre år består av tre deler: lisenskostnaden, implementeringen og den interne tiden verktøyet ikke fjerner. Et vanlig feilgrep er å velge det billigste verktøyet og deretter bruke like mange interne timer som før, fordi automatiseringen er overfladisk. Det motsatte feilgrepet er å kjøpe en foretakssuite til en pris ingen SMB kan forsvare. Den laveste reelle totalkostnaden ligger nesten alltid hos en EU-basert plattform på inngangsnivå med reell KI-automatisering, der protokoll og avtalegjennomgang faktisk gjøres av verktøyet – ikke av deg. Plattformer som Legiscope er priset for nettopp dette segmentet. For å sammenligne verktøyene funksjon for funksjon, se vår sammenligning av GDPR-programvare og rangeringen av de beste verktøyene.
Prismodeller: hva betaler du egentlig for?
Leverandørene priser produktene sine på ulike måter, og det lønner seg å forstå modellen før du sammenligner tall. De tre vanligste er:
- Fast abonnement. En fast månedspris uavhengig av antall brukere, ofte med tak på antall behandlinger. Dette gir forutsigbarhet og passer SMB godt. Legiscope og Dastra bruker i hovedsak denne modellen.
- Pris per sete. Prisen skaleres med antall interne brukere. Det ser billig ut for én bruker, men vokser raskt i en organisasjon der mange skal ha tilgang. Vanlig hos sikkerhetsverktøy som Vanta.
- Modulbasert tilbud. Grunnprisen dekker en kjerne, mens hver tilleggsmodul – samtykke, leverandørrisiko, KI-styring – koster ekstra. Dette er OneTrust-modellen, og totalprisen blir sjelden synlig før i sluttforhandlingen.
Et praktisk råd: be alltid om en samlet årspris inkludert de modulene du faktisk trenger, ikke en startpris for en avkortet grunnpakke. Startprisen sier lite om hva du ender opp med å betale.
Kostnad per sektor
Kostnadsnivået varierer også med hvor kompleks behandlingen er:
| Sektor | Typisk kompleksitet | Kostnadsdriver |
|---|---|---|
| Netthandel og SaaS | Middels–høy | Mange databehandlere og internasjonale overføringer |
| Helse og omsorg | Høy | Storskala sensitive opplysninger, DPIA-krav |
| Offentlig sektor | Høy | Personvernombud, sporbar dokumentasjon, tilsyn |
| Finans | Høy | Overlapp med DORA og NIS2 |
| Håndverk og småbedrift | Lav | Få behandlinger, standard kunderegister |
En håndverksbedrift med et enkelt kunderegister klarer seg med et inngangsverktøy i nedre sjikt, mens et helseforetak med storskala sensitive opplysninger trenger sterk DPIA-veiledning og sannsynligvis et personvernombud – noe som løfter både verktøy- og bemanningskostnaden.
Spørsmål å stille leverandøren om pris
Før du signerer, be hver leverandør svare konkret på fem ting: Hva inngår i grunnprisen, og hva koster ekstra? Prises produktet per bruker, per behandling eller fast? Kommer det en engangskostnad til implementering, og hvor stor? Hva skjer med prisen når virksomheten vokser eller legger til nye behandlinger? Og er det bindingstid? Svarene avslører raskt den reelle totalkostnaden bak en tilsynelatende lav startpris, og de skiller verktøy bygget for norske SMB fra foretakssuiter forkledd som rimelige.
Ofte stilte spørsmål
Hva koster GDPR-programvare for en norsk SMB?
For en typisk norsk SMB med 10–100 ansatte ligger kostnaden på 15 000–45 000 kroner i året for et inngangsverktøy som dekker behandlingsprotokoll, databehandleravtaler, innsynsbegjæringer og avvikshåndtering. Legiscope og Dastra ligger i dette sjiktet, begge med EU-hosting.
Er det skjulte kostnader ved GDPR-programvare?
De vanligste skjulte kostnadene er implementering (20 000–200 000 kroner ved komplekse datamiljøer), tillegg per bruker eller modul, og – viktigst – den interne tiden et overfladisk verktøy ikke fjerner. Be alltid leverandøren spesifisere hva som inngår i grunnprisen og hva som kommer i tillegg.
Lønner GDPR-programvare seg for en liten virksomhet?
Ja. Manuell etterlevelse binder fort flere hundre tusen kroner i intern tid i året, og Datatilsynets gebyrer starter på flere hundre tusen kroner. Et verktøy til 15 000–45 000 kroner i året er dermed et enkelt regnestykke – se også guiden til GDPR-programvare for SMB.
Et regnestykke over tre år
La oss sette tall på det. En norsk virksomhet med 40 ansatte som velger et inngangsverktøy til 30 000 kroner i året, betaler 90 000 kroner over tre år. Legger vi til en beskjeden implementering på 20 000 kroner, ender totalen på 110 000 kroner. Alternativet – manuell etterlevelse – binder fort 400 timer intern tid i året. Til en konservativ timekostnad på 700 kroner er det 280 000 kroner i året, eller 840 000 kroner over tre år, og resultatet er som regel en dårligere dokumentert etterlevelse. Selv om verktøyet bare fjerner halvparten av den manuelle tiden, er regnestykket entydig. Legger vi til risikoen for et gebyr – Datatilsynets laveste kommunale gebyrer ligger på 400 000 kroner, de høyeste i millionklassen – blir en investering på noen titusen i året en av de rimeligste forsikringene en virksomhet kan tegne.
Konklusjon
GDPR-programvare koster de fleste norske virksomheter mellom 15 000 og 130 000 kroner i året, med foretakssuiter fra 250 000 kroner og oppover. Den avgjørende kostnaden er likevel ikke lisensen, men den interne tiden verktøyet fjerner – eller ikke fjerner. Velg en EU-basert plattform med reell automatisering på inngangsnivå, mål totalkostnaden over tre år, og sammenlign den med den eneste virkelig dyre løsningen: et regneark som forfaller og et gebyr fra Datatilsynet.
Sist gjennomgått: juli 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo