Personvern

GDPR-programvare 2026: sammenligning av funksjoner og priser

GDPR-programvare sammenlignet for 2026: verktøy, utvalgskriterier og reelle priser for norske virksomheter. Datatilsynet-tilpasset analyse av fordeler og ulemper.

GDPR-programvare automatiserer de tilbakevendende pliktene personvernforordningen pålegger enhver norsk virksomhet: behandlingsprotokoll (artikkel 30), personvernkonsekvensvurderinger (artikkel 35), håndtering av de registrertes begjæringer (artikkel 12–22), melding av avvik innen 72 timer (artikkel 33) og databehandleravtaler (artikkel 28). For en norsk virksomhet er riktig valg i 2026 en EU-basert plattform som holder behandlingsprotokollen oppdatert automatisk, veileder gjennom konsekvensvurderinger, håndterer databehandleravtaler og overvåker frister – til en kostnad på omtrent 15 000 til 130 000 kroner i året. Den realistiske kortlisten: Legiscope (EU-plattform utviklet av personvernjurister, sterk på dokumentautomatisering), Dastra (rimelig EU-inngang), og – kun på foretaksskala – OneTrust eller TrustArc. Sikkerhetsverktøy som Vanta eller Sprinto er et supplement, ikke en erstatning. Denne guiden sammenligner alternativene på kriteriene som faktisk avgjør valget.

Nedenfor går jeg gjennom hva som gjør det norske markedet særegent, hvilke kriterier som virkelig teller, og hva alternativene er verdt – inkludert svakhetene deres.

Opplysning: Legiscope er vårt eget produkt. Vi tar det med fordi det hører hjemme i kategorien, og åpenhet krever at vi sier det rett ut. Hvert verktøy i listen vurderes etter samme målestokk.

Hvorfor GDPR-programvare ikke er en luksus i Norge

Datatilsynet håndhever aktivt. Datatilsynet har ilagt noen av Europas mest omtalte gebyrer. Grindr fikk 65 millioner kroner for å dele opplysninger med annonsepartnere uten gyldig samtykke – et gebyr som Borgarting lagmannsrett stadfestet i oktober 2025. SATS Norge fikk 10 millioner kroner for brudd på de registrertes rettigheter, Trumf fikk 5 millioner kroner for manglende tilgangskontroll, og Telenor ASA fikk 4 millioner kroner i 2025 for mangler ved personvernombudsordningen. En full oversikt finner du i vår gjennomgang av Datatilsynets overtredelsesgebyr 2025.

Personopplysningsloven. Personopplysningsloven gjør GDPR til norsk lov og legger nasjonale valg oppå forordningen, blant annet om behandling i arbeidsforhold og aldersgrense for samtykke. Et verktøy må kunne gjenspeile disse norske særtrekkene.

Dokumentasjon på norsk. Behandlingsprotokollen, personvernerklæringene, konsekvensvurderingene og databehandleravtalene leses av ansatte, kunder og til slutt av Datatilsynet. En plattform som bare leverer engelskspråklig utdata, skaper friksjon i hvert ledd.

Kriteriene som virkelig avgjør

Kriterium Hvorfor det er avgjørende Minstekrav
Behandlingsprotokoll (art. 30) Første dokument Datatilsynet ber om Strukturert behandlingsprotokoll, eksport på norsk
Databehandleravtaler (art. 28) Hver skyleverandør krever én Gjennomgang av avtaler og underleverandører
Konsekvensvurdering (art. 35) Kreves ved høy risiko Veiledet DPIA-prosess, ikke tom mal
Avvikshåndtering (art. 33) 72-timersfristen er ubønnhørlig Arbeidsflyt med fristovervåking
EU-hosting Unngår tredjelandsoverføring Data lagres og behandles innenfor EØS
Norsk språk Lesbarhet for Datatilsynet og ansatte Full norsk utdata

De seks alternativene – ærlig vurdert

1. Legiscope – best for SMB som må bli ferdige raskt

Pris: omtrent 1 100–3 500 kr/måned (99–299 euro) | Passer: små og mellomstore virksomheter som vil nå samsvar uten å ansette et personvernombud på heltid

Legiscope er bygget for SMB fra grunnen av. Plattformen bruker KI trent på personvernpraksis og tilsynsmyndighetenes veiledning til å generere en behandlingsprotokoll på noen minutter og gjennomgå en databehandleravtale på omtrent tre minutter. Metodikken er utformet av personvernforskere med doktorgrad, og all behandling skjer på EU-basert infrastruktur.

Fordeler: rask protokollgenerering, avtalegjennomgang som flagger ikke-samsvarende klausuler, full EU-hosting, bygget for SMB. Ulemper: nyere plattform med mindre brukerbase enn eldre verktøy; fokus på GDPRs kjerneplikter framfor multi-rammeverk (ISO 27001, SOC 2).

2. Dastra – rimelig EU-inngang

Pris: fra omtrent 900 kr/måned (79 euro) | Passer: mindre virksomheter med stram budsjett

Dastra er en fransk plattform med god dekning for protokoll og samtykkehåndtering. Fordeler: lav inngang, EU-hosting. Ulemper: veiledningen heller mot fransk praksis, norsk språkstøtte og lokal tilpasning er svakere, KI-funksjonene er begrensede.

3. OneTrust – for store organisasjoner

Pris: fra omtrent 5 500+ kr/måned (tilbud) | Passer: virksomheter med 500+ ansatte og egne personvernteam

OneTrust er den etablerte giganten med moduler for alt fra samtykkehåndtering til leverandørrisiko. Fordeler: bredest funksjonsutvalg, sterkt integrasjonsøkosystem. Ulemper: høy kostnad og årsavtaler, implementering på 3–6 måneder, komplekst grensesnitt – overdimensjonert for de fleste SMB. Se vår detaljerte sammenligning av Legiscope og OneTrust.

4. TrustArc – for amerikanske selskaper med EØS-drift

Pris: tilbudsbasert (typisk 4 500+ kr/måned) | Passer: selskaper som må dekke både CCPA og GDPR

TrustArc har lang fartstid, men designfilosofien er USA-sentrert. GDPR-modulene føles sekundære, EU-hosting mangler, og prisingen er lite gjennomsiktig.

5. Vanta – for SaaS-selskaper som allerede gjør SOC 2

Pris: fra omtrent 3 500+ kr/måned | Passer: SaaS-selskaper som kombinerer SOC 2 og GDPR

Vanta automatiserer bevisinnsamling fra skyinfrastruktur. Fordeler: utmerket teknisk automatisering, moderne integrasjoner. Ulemper: GDPR er en sekundær modul; dybden på protokoll, DPIA og avtalegjennomgang er tynnere enn hos rene GDPR-plattformer.

6. Sprinto – rask samsvar for oppstartsbedrifter

Pris: fra omtrent 2 300+ kr/måned | Passer: tidlige selskaper som må vise samsvar før foretakssalg

Sprinto gir rask onboarding mot flere rammeverk. Fordeler: rask vei til «audit-ready», rimelig inngang. Ulemper: GDPR behandles som ett rammeverk blant flere, protokollhåndteringen er malbasert og avtalegjennomgang mangler.

Sammenligningstabell

Funksjon Legiscope Dastra OneTrust Vanta Sprinto
Protokoll (art. 30) KI-generert, 4 min Malbasert Malbibliotek Grunnleggende Malbasert
Databehandleravtale (art. 28) KI-gjennomgang, 3 min Begrenset Manuell Nei Nei
DPIA (art. 35) Veiledet + KI Franske maler Arbeidsflyt Nei Nei
EU-hosting Ja Ja Tilvalg Nei (USA) Nei (USA)
Norsk språk Ja Delvis Delvis Nei Nei
Startpris/måned ~1 100 kr ~900 kr ~5 500+ kr ~3 500+ kr ~2 300+ kr

Hvilket verktøy passer norske virksomheter?

Det som virkelig avgjør, er ikke funksjonsbredde, men tre ting: at dokumentasjonen kan produseres på norsk, at data blir innenfor EØS, og at protokollen holdes levende uten å kreve en heltidsstilling. For en virksomhet med 10–300 ansatte peker dette mot en ren, EU-basert GDPR-plattform framfor et multi-rammeverksverktøy der GDPR er en bimodul. For å planlegge budsjett, se vår gjennomgang av hva GDPR-programvare koster og vår rangering av de beste verktøyene i 2026. Trenger dere også å dekke NIS2 eller DORA, se NIS2-programvare og DORA-programvare.

Slik bytter du fra regneark til plattform

De fleste norske organisasjoner starter med en protokoll i Excel og et knippe databehandleravtaler i en delt mappe. Overgangen til en plattform trenger ikke være dramatisk: eksporter den eksisterende protokollen, importer den til verktøyet (de beste plattformene har KI-drevet import som strukturerer feltene), gjennomgå og suppler behandlingene som mangler rettslig grunnlag eller lagringstid, og knytt hver behandling til riktig databehandleravtale. Regn med noen ukers arbeid for en mellomstor organisasjon, der mesteparten går til å fylle hullene regnearket allerede hadde.

Spørsmål å stille hver leverandør

Før dere signerer, be hver leverandør svare konkret på fem ting: Hvor lagres og behandles data, og skjer det noen overføring utenfor EØS? Leveres protokoll, policyer og rapporter på norsk? Hvor mye av protokollen og avtalegjennomgangen er automatisert kontra manuell? Hva inngår i grunnprisen, og hva kommer i tillegg? Og hvordan håndteres oppdateringer når nye behandlinger eller leverandører kommer til? Svarene på disse fem spørsmålene sier mer om den reelle nytten enn noen funksjonsliste, og de avslører raskt hvilke verktøy som er bygget for norske forhold og hvilke som ikke er det.

Ofte stilte spørsmål

Hva koster GDPR-programvare i Norge?

Inngangsverktøy for protokoll, avvikshåndtering og databehandleravtaler koster omtrent 15 000–45 000 kroner i året (Legiscope, Dastra). Plattformer for mellomstore virksomheter ligger på 45 000–130 000 kroner i året, og foretaksløsninger som OneTrust havner ofte på 250 000 kroner og oppover. Sammenlign dette med Datatilsynets gebyrer, som for SATS utgjorde 10 millioner kroner. En full oversikt finner du i prisguiden vår.

Trenger små og mellomstore bedrifter virkelig GDPR-programvare?

Ja. Unntaket i artikkel 30 nr. 5 for virksomheter under 250 ansatte gjelder i praksis ikke for noen som behandler ansattopplysninger, driver nettside med analyseverktøy eller har et kunderegister. Manuell etterlevelse krever typisk hundrevis av timer i året – programvare reduserer det med 70–90 prosent.

Kan GDPR-programvare erstatte et personvernombud?

Nei. Programvare erstatter ikke den rettslige plikten til å utpeke et personvernombud når det kreves etter artikkel 37, men den reduserer arbeidsbyrden kraftig og gir dokumentasjonen ombudet trenger å vise fram ved tilsyn.

Er EU-hosting viktig for norske virksomheter?

Ja. EU-hosting betyr at data behandles innenfor EØS, noe som fjerner behovet for overføringsvurderinger og supplerende tiltak etter Schrems II. Dersom selve GDPR-verktøyet overfører personopplysninger til USA, innfører det nye samsvarsplikter. EU-baserte plattformer unngår dette helt.

Konklusjon

Riktig GDPR-programvare for en norsk virksomhet er den som produserer norsk dokumentasjon, holder data innenfor EØS og holder behandlingsprotokollen oppdatert uten å sluke en heltidsstilling. Datatilsynets gebyrer – fra Telenors 4 millioner til Grindrs 65 millioner kroner – gjør investeringen til et enkelt regnestykke. Start med kriteriene i tabellen ovenfor, test to eller tre verktøy mot deres reelle datamiljø, og velg plattformen som gjør protokollen og databehandleravtalene til levende dokumenter framfor døde regneark.

Sist gjennomgått: juli 2026.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →