Prosjektbase logoProsjektbase
Tilbake til bloggen
6 min lesing· Av Prosjektbase-redaksjonen

Dokumentdeling i kommunale prosjekter — sikkerhet, GDPR og arkiv

Hvordan deler kommunen prosjektdokumenter trygt — uten å bryte personopplysningsloven eller arkivlova? Praktisk gjennomgang av krav, risiko og løsninger.

Kommunale utbyggingsprosjekter genererer store mengder dokumenter — mange med personopplysninger om grunneiere, naboer og innbyggere. Hvordan disse deles, lagres og arkiveres avgjør om kommunen overholder personopplysningsloven og arkivlova.

Tre regelverk som styrer

  1. Personopplysningsloven og GDPR — gir innbyggere rett til vern av sine personopplysninger.
  2. Arkivlova — pålegger offentlige organer å bevare dokumentasjon for ettertiden.
  3. Offentleglova — gir allmennheten innsyn i kommunens dokumenter (med unntak).

Disse tre står ofte i spenning. Et grunneierregister må bevares (arkivlova), beskyttes (GDPR) og være tilgjengelig for innsyn (offentleglova) — samtidig.

Personopplysninger i prosjektdokumenter

Typiske personopplysninger i et utbyggingsprosjekt:

  • Navn, adresse, telefon og e-post til grunneiere
  • Eierandel og hjemmelsforhold
  • Korrespondanse om verdivurdering og erstatning
  • Helseopplysninger (om støy, tilrettelegging, etc.)
  • Økonomiske forhold (avtalt erstatning)

Behandlingsgrunnlaget er som regel rettslig forpliktelse (pbl., oreigningslova) eller utøvelse av offentlig myndighet. Behandlingen må likevel være forholdsmessig — dvs. ikke samle eller dele mer enn nødvendig.

Vanlige sikkerhetsbrudd

De fleste hendelser i kommunale prosjekter handler om:

  • E-post til feil mottaker — særlig når lister sendes som vedlegg
  • Åpne lenker til dokumenter — som spres utenfor tiltenkt mottakergruppe
  • Felles passord på prosjektrom — som ikke endres ved utskifting
  • Mangelfull avlogging — på delte PC-er på byggeplass
  • Personopplysninger i åpne saksinnsyn — uten nødvendig sladding

Anbefalte tiltak

### Tilgangsstyring

  • Personlige brukerkontoer, aldri delte
  • Tilgang gis per prosjekt og rolle
  • Tilgang trekkes umiddelbart ved utskifting
  • Sterk autentisering (MFA) for prosjektledere

### Sporing

  • All tilgang logges (hvem, når, hva)
  • Endringer i dokumenter logges
  • Eksport og nedlasting logges

### Lagring

  • Dokumenter med personopplysninger lagres i EU/EØS
  • Databehandleravtale med leverandøren
  • Klart skille mellom aktive prosjekter og arkiv

### Arkivering

  • Definert prosess for overføring til langtidsarkiv
  • PDF/A for langtidsbevaring
  • Metadata følger dokumentet

Innsyn etter offentleglova

Når en innbygger ber om innsyn i et utbyggingsprosjekt, gjelder hovedregelen om åpenhet. Unntak finnes for:

  • Personopplysninger som ikke har offentlig interesse (offl. § 13, jf. fvl. § 13)
  • Interne dokumenter (offl. §§ 14–15)
  • Forhandlingsposisjon i pågående saker (offl. § 23)

Praktisk håndteres dette best ved at dokumenter merkes for innsyn ved opprettelse — så slipper saksbehandler en stor sladdingsjobb senere.

Hva med ekstern deling?

Når dokumenter skal deles med entreprenør, rådgiver eller grunneier:

  • Lenke med utløpsdato og pålogging
  • Aldri vedlegg i e-post for større dokumenter
  • Ekstern bruker får tilgang til kun sin egen sak
  • Logg over hvem som har lastet ned hva

Sjekkliste

  • [ ] Databehandleravtale med leverandør av prosjektverktøy
  • [ ] Personlige kontoer for alle brukere
  • [ ] Logging av all tilgang og endring
  • [ ] Lagring i EU/EØS
  • [ ] Rutine for tilgangsfjerning ved utskifting
  • [ ] Innsynsprosess og sladdingsrutine
  • [ ] Arkivoverføring ved prosjektslutt

Kilder

  1. Personopplysningsloven. Lovdata. <https://lovdata.no/lov/2018-06-15-38> (sjekket 2026-06-02)
  2. Arkivlova. Lovdata. <https://lovdata.no/lov/1992-12-04-126> (sjekket 2026-06-02)
  3. Offentleglova. Lovdata. <https://lovdata.no/lov/2006-05-19-16> (sjekket 2026-06-02)