Dette verktøyet hjelper deg å dokumentere en vurdering av berettiget interesse etter GDPR art. 6(1)(f).
Dersom du har flere behandlingsaktiviteter eller formål, bør du gjøre en separat vurdering for hver.
Ingen data lagres på serveren — alt skjer lokalt i nettleseren din.
Skjemaet lagrer automatisk underveis slik at du kan ta pauser.
Dette verktøyet krever en større skjerm og er kun tilgjengelig på PC eller nettbrett.
Du har en påbegynt vurdering lagret. Vil du fortsette?
Type vurdering
For ordinær lavrisiko-behandling. Kort og strukturert vurdering.
Om behandlingen
Beskriv behandlingen kort og presist. Dette danner grunnlaget for hele vurderingen.
Gi behandlingen et kort, beskrivende navn som gjør det lett å identifisere den.
Særlige kategorier personopplysninger (GDPR art. 9) og opplysninger om lovovertredelse (art. 10) krever tilleggshjemmel utover berettiget interesse.
Beskriv tilknytningen mellom virksomheten og de registrerte. Dette viser styrkeforholdet og påvirker om behandlingen kan forventes. Se fortalepunkt 47.
Angi hvor lenge behandlingen pågår, eller kriterier for når den avsluttes.
⛔ Særlige kategorier oppdaget. Berettiget interesse alene er ikke tilstrekkelig hjemmel for særlige kategorier av personopplysninger.
Se GDPR art. 9 og art. 10.
Vurdering
Beskriv de tre trinnene i vurderingen: interesse, nødvendighet og avveining.
Beskriv både hva interessen er og hvorfor den er berettiget. Eksempler: svindelforebygging, IT-sikkerhet, kundeoppfølging. Se art. 6(1)(f) og fortalepunkt 47.
Kan den berettigede interessen oppnås like effektivt på en måte som er mindre inngripende for personvernet?
Begrunn kort at den registrertes interesser, rettigheter og friheter ikke veier tyngre. Hensyn: rimelig forventning, påvirkning, omfang, transparens.
Eksempler: tilgangsstyring, dataminimering, informasjon via personvernerklæring, mulighet til å protestere (jf. art. 21).
Berettiget interesse
Beskriv hvilken berettiget interesse som påberopes, og hvorfor den er reell og konkret.
Beskriv både hva interessen er og hvorfor den er berettiget. «Sikkerhet» eller «markedsføring» er for vagt alene — forklar hva interessen konkret består i og hvorfor den fortjener rettslig beskyttelse.
Vurder om behandlingen er nødvendig for å oppnå formålet, og om det finnes mindre inngripende alternativer.
💡 Nødvendighetstesten krever at du vurderer alternativer. Du må vurdere om den berettigede interessen med rimelighet kan oppnås like effektivt på en annen måte som er mindre inngripende for personvernet.
Klikk på relevante tiltak som er vurdert:
Avveining
Vei den berettigede interessen mot den registrertes rettigheter og friheter. Dette er den viktigste delen av vurderingen.
Rimelig forventning
Vil den registrerte med rimelighet forvente at opplysningene brukes på denne måten? Kunder forventer gjerne at kontaktinfo brukes til kundeservice, men ikke nødvendigvis til markedsføring. Se fortalepunkt 47.
Påvirkning på registrerte
Lav: Minimal eller ingen merkbar effekt. Middels: Noe ubehag eller ulempe. Høy: Vesentlig påvirkning på rettigheter, økonomi eller omdømme.
Omfang
Antall registrerte og/eller mengden opplysninger som behandles.
Sårbare grupper
Profilering/overvåkning
Deling ut av virksomheten
Nei: Ingen deling ut av virksomheten. Databehandler: Kun til databehandler(e) etter avtale. Tredjeparter: Kunder, partnere, myndigheter eller andre mottakere.
Transparens
Er de registrerte tydelig informert om behandlingen? Se GDPR art. 13 og art. 14 for krav til informasjon.
⚠️ Forhøyet risiko. Når påvirkningen er høy eller rimelig forventning mangler, må du begrunne særskilt hvorfor interessen likevel veier tyngre, og velge minst 3 tiltak i neste steg. Vurder også om det bør gjennomføres en DPIA (art. 35).
Beskriv både positive konsekvenser (f.eks. bedre sikkerhet, raskere service) og negative konsekvenser (f.eks. ubehag, tap av kontroll, diskriminering). Balansetesten krever at begge sider belyses.
Har behandlingen konsekvenser utover de registrerte? For eksempel positive effekter for samfunnet (svindelforebygging, sikkerhet) eller negative for tredjeparter.
Her må du vise at du har veid interessen mot den registrertes rettigheter. Henvis gjerne til tiltak som reduserer risikoen. Se art. 21 om rett til å protestere.
Tiltak
Beskriv konkrete tiltak som reduserer personvernrisikoen. Se art. 25 (innebygd personvern) og art. 32 (sikkerhet).
Eksempler på tiltak: tilgangsstyring, logging, kryptering, dataminimering, pseudonymisering, begrenset lagring med automatisk sletting, innebygd personvern, leverandørkrav (DBA). Se art. 25 og art. 32.
Krav: Når behandlingen baseres på berettiget interesse, skal den behandlingsansvarlige opplyse om hvilken berettiget interesse som ligger til grunn (art. 13(1)(d) / art. 14(2)(b)). Dette skal typisk fremgå av personvernerklæringen. Beskriv hvordan dette ivaretas.
De registrerte har rett til å protestere mot behandling basert på berettiget interesse, jf. art. 21. Beskriv hvordan protester kan leveres (f.eks. e-post, nettskjema, kundeservice) og hvordan de håndteres.
Konklusjon og eksport
Fastsett konklusjonen og eksporter vurderingen som dokument.
Se gjennom vurderingen
Dersom virksomheten har et personvernombud (PVO/DPO), dokumenter eventuell involvering og innspill her. Se art. 37–39.
📝 Husk: Den berettigede interessen skal opplyses til de registrerte, typisk i personvernerklæringen (art. 13(1)(d)). De registrerte har også rett til å protestere mot behandlingen (art. 21).