top of page

GDPR i anskaffelser: En to-delt utfordring


En vanlig feil er å kun tenke på personvern i løsningen man skal kjøpe. Men enhver anskaffelsesprosess er i seg selv en behandling av personopplysninger. For å ha full kontroll må vi derfor mestre GDPR i to adskilte faser:


Fase 1: Personvern i gjennomføringen av anskaffelsen

Dette handler om ditt ansvar som innkjøper for personopplysningene som samles inn og behandles under selve konkurransen.


  • Hvilke data behandles?

    • Kontaktpersoner: Navn, e-post, telefon hos de ulike leverandørene.

    • CV-er: Detaljerte personopplysninger om nøkkelpersonell som tilbys i leveransen. Dette er ofte sensitive data om utdanning og erfaring.

    • Referanser: Navn og kontaktinfo til personer som kan kontaktes.


  • Ditt ansvar som innkjøper (Behandlingsansvarlig):

    1. Informasjonsplikt: Opplyse i konkurransegrunnlaget om hvordan disse personopplysningene blir behandlet, hvor lenge de lagres, og hva som er det rettslige grunnlaget.

    2. Dataminimering: Ikke be om flere CV-er eller mer informasjon enn det som er strengt nødvendig for å evaluere tilbudene.

    3. Lagringsbegrensning: Ha en klar rutine for å slette personopplysningene fra de tapende leverandørene etter at klagefristen har utløpt. Disse dataene kan ikke bli liggende i arkivet for alltid.

    4. Sikkerhet: Sørge for at anskaffelsesplattformen (f.eks. Mercell, Tendsign) og interne systemer sikrer disse dataene på en god måte.


Kort sagt: I fase 1 er det tilbydernes ansatte som er de registrerte, og du er 100 % ansvarlig for behandlingen.


Fase 2: Personvern i leveransen – tjenesten eller systemet

Dette handler om å sikre at det du kjøper er i tråd med personvernregelverket. Fokuset flyttes fra konkurransen til den fremtidige bruken av tjenesten.


  • Hvilke data skal behandles?

    • Dette kan være data om innbyggere, elever, pasienter, eller egne ansatte, avhengig av hva som anskaffes. Risikoen her er ofte mye høyere enn i fase 1.

  • Ditt ansvar som kravstiller og fremtidig eier:

    1. Kravspesifikasjon: Stille konkrete og ufravikelige krav til innebygd personvern i løsningen. Dette kan være krav til tilgangsstyring, logging, kryptering, sletting osv.

    2. Risikovurdering (DPIA): Vurdere om den nye løsningen krever en full personvernkonsekvensvurdering (DPIA) før kontrakt inngås.

    3. Databehandleravtalen (DPA): Utforme en robust og tilpasset databehandleravtale som regulerer leverandørens plikter. Dette er det viktigste juridiske verktøyet du har.

    4. Leverandørvurdering: Vurdere leverandørens reelle kompetanse og modenhet på personvern, ikke bare salgspresentasjonen.


Kort sagt: I fase 2 er det dine egne brukere (innbyggere, ansatte etc.) som er de registrerte, og du må sikre at leverandøren (databehandleren) oppfyller alle kravene du stiller.

 
 
  • Hvordan vinne anbud
    Hvordan vinne anbud
    ons. 11. feb.
    Webinar
    11. feb. 2026, 12:00 – 15:00
    Webinar
    Dette kurset viser hvordan profesjonelle leverandører jobber: hvordan du posisjonerer deg før utlysning, skriver tilbud som faktisk gir poeng og priser taktisk innenfor reglene. Målet er enkelt: At du skal vinne flere kontrakter.
  • Oppdateringskurs i rammeavtaler 2026
    Oppdateringskurs i rammeavtaler 2026
    tor. 12. feb.
    Webinar
    12. feb. 2026, 12:00 – 15:00
    Webinar
    Et avansert 3-timers webinar for deg som allerede kan anskaffelser. Få innsikt i de vanskeligste temaene – og boken Rammeavtaler inkludert.
  • De nye lovendringene i 2026 – ansvar, sikkerhet og styring i offentlige anskaffelser
    De nye lovendringene i 2026 – ansvar, sikkerhet og styring i offentlige anskaffelser
    ons. 04. mars
    Webinar
    04. mars 2026, 09:00 – 12:00
    Webinar
    Hva gjør du når loven ikke gjelder? Stortinget har hevet terskelverdien til 500 000 kroner. Mange tror det betyr at småkjøp nå er fritt frem. De tar feil. I tillegg kommer nye krav til sikkerhet, sanksjoner og beredskap.
  • Evalueringsmodeller og poengsystemer
    Evalueringsmodeller og poengsystemer
    tir. 10. mars
    Webinar
    10. mars 2026, 09:30 – 14:50
    Webinar
    Feil evalueringsmodell gir feil vinner. Lær hvordan du utformer poengsystemer som identifiserer beste tilbud og tåler juridisk etterprøving.
  • Kontraktsoppfølging
    Kontraktsoppfølging
    tir. 17. mars
    Webinar
    17. mars 2026, 12:00 – 15:00
    Webinar
    Kontrakten er signert – nå starter det virkelige arbeidet. Lær deg å følge opp leveransen, håndtere mislighold og bruke sanksjoner riktig
  • Konkurranse med forhandlinger
    Konkurranse med forhandlinger
    tir. 24. mars
    Webinar
    24. mars 2026, 09:00 – 12:00
    Webinar
    Taktikk, juss og praktisk gjennomføring
  • Rammeavtaler
    Rammeavtaler
    tir. 21. apr.
    Webinar
    21. apr. 2026, 09:30 – 14:50
    Webinar
    Minikonkurranse eller Fossefall? Vet du forskjellen, og vet du hva som gir best priser? I Modul 4 lærer du å rigge parallelle rammeavtaler riktig, og hvordan du håndterer de nye, strenge kravene til volumtak. Unngå at avtalen din blir ugyldig før tiden.
  • Miljøkrav og 30-prosentregelen
    Miljøkrav og 30-prosentregelen
    tir. 05. mai
    Webinar
    05. mai 2026, 09:00 – 12:00
    Webinar
    Juss, vekting og praktisk gjennomføring
  • Innsyn, klager og omgjøring
    Innsyn, klager og omgjøring
    tir. 19. mai
    Webinar
    19. mai 2026, 09:00 – 12:00
    Webinar
    Håndter leverandørens rettigheter etter valg – innsyn, klager og når du kan omgjøre beslutninger
  • Hvordan vinne anbud
    Hvordan vinne anbud
    tir. 02. juni
    Webinar
    02. juni 2026, 09:00 – 12:00
    Webinar
    Dette kurset viser hvordan profesjonelle leverandører jobber: hvordan du posisjonerer deg før utlysning, skriver tilbud som faktisk gir poeng og priser taktisk innenfor reglene. Målet er enkelt: At du skal vinne flere kontrakter.
Anbudskonkurranser
Anbudskonkurranser
When
29. apr. 2025, 12:30 – 15:00
Where
webinar

Forum for offentlige anskaffelser |  Org.nr. 933 432 394

bottom of page