Hva betyr dokumentasjon i compliance-arbeid?

Dokumentasjon betyr at virksomheten kan vise hva som er kartlagt, hvilke vurderinger som er gjort, hvilke beslutninger som er tatt, hvem som eier tiltakene og hvordan tiltakene følges opp.

Er en policy nok dokumentasjon?

Nei. En policy kan være nødvendig, men tilsyn og revisjoner spør ofte etter spor av faktisk styring: protokoller, risikovurderinger, beslutninger, avtaler, logger, opplæring, avvik og oppfølging.

Kan samme dokumentasjon brukes på tvers av regelverk?

Ja, ofte. En god risikovurdering, tiltaksmatrise, leverandøroversikt og hendelseslogg kan dekke flere regelverk, men hvert regelverk har egne minstekrav og begreper som må ivaretas.

Dokumentasjon på tvers: GDPR, ISO 27001, DORA, NIS2, AI Act og sikkerhetsloven

Tema-oppslag fra ordlisten. Vil du følge med på dokumentasjonskrav, tilsynspraksis og nye regler? Få Regelverksradar, maks én e-post i måneden.

God dokumentasjon er ikke en mappe med tilfeldige filer. Den viser omfang, risiko, beslutninger, tiltak og oppfølging på en måte som ledelsen, revisjonen og tilsynsmyndigheten kan forstå. Derfor bør den bygges som ett styringssystem, selv om kravene kommer fra flere regelverk.

Hva Vis hvilke systemer, data, leverandører og prosesser som er omfattet.

Hvorfor Knytt tiltak til risiko, regelkrav og en konkret beslutning.

Bevis Bevar spor av vurderinger, endringer, avvik og ledelsesoppfølging.

Sammenligning

Regelverk	Typisk dokumentasjon	Hva den skal bevise	Vanlig svakhet
GDPRAnsvarlighet og protokoll	Behandlingsprotokoll, DPIA, databehandleravtaler, avvikslogg og slette-/innsynsrutiner	At behandlingen har formål, grunnlag, roller, sikkerhetstiltak og kontroll med registrertes rettigheter	Protokollen finnes, men er ikke oppdatert når systemer, formål, leverandører eller overføringer endres
ISO 27001Dokumentert informasjon	Omfang, sikkerhetspolicy, risikovurdering, SoA, internrevisjon og ledelsens gjennomgang	At informasjonssikkerheten styres systematisk, risikobasert og med kontinuerlig forbedring	Dokumentene beskriver ønsket tilstand, men mangler spor av faktisk drift, måling og forbedring
DORADigital motstandsdyktighet	IKT-risikostyringsrammeverk, hendelsesrutiner, testplaner, register over IKT-tjenesteavtaler og tredjepartsoppfølging	At finansforetaket styrer IKT-risiko, håndterer hendelser, tester motstandsdyktighet og har kontroll på leverandører	Registeret over IKT-avtaler og leverandøroppfølgingen ligger utenfor risikostyringen
NIS2 / digitalsikkerhetslovenSikkerhetsstyring og varsling	Styringssystem, risikovurderinger, sikkerhetstiltak, registrering, beredskap og varslingsrutiner	At virksomheten kjenner sine kritiske tjenester, styrer risiko og kan varsle alvorlige hendelser innen fristene	Tiltakene er tekniske, men mangler eierskap, ledelsesforankring og sporbar oppfølging
AI ActTeknisk dokumentasjon	Systembeskrivelse, data- og risikostyring, samsvarsvurdering, bruksanvisning, logging og menneskelig tilsyn	At KI-systemet er klassifisert riktig, utviklet og brukt kontrollert, og at påkrevde opplysninger kan gis til brukere og myndigheter	Modellen er dokumentert teknisk, men formål, risiko, data, bruksmiljø og menneskelig kontroll er uklare
SikkerhetslovenSikkerhetsstyring	Sikkerhetsstyring, risikovurdering, oversikt over skjermingsverdige verdier, tiltak, autorisasjon og tilsynsspor	At virksomheten oppnår forsvarlig sikkerhetsnivå for verdier som berører nasjonale sikkerhetsinteresser	Dokumentasjon finnes i enkeltmiljøer, men er ikke samlet nok til å vise helhetlig styring

En praktisk dokumentasjonsmodell

Start med en felles bevisstruktur: omfang, roller, risiko, tiltak, avvik, leverandører, opplæring og ledelsesbeslutninger. Deretter mapper dere hvert bevis til regelkravene som gjelder for virksomheten. Det gir mindre dobbeltarbeid og bedre sporbarhet.

Den samme risikovurderingen kan for eksempel støtte GDPR, ISO 27001, DORA, NIS2 og sikkerhetsloven, men bare hvis den viser hvilke verdier, systemer, data, trusler, konsekvenser og beslutninger som faktisk er vurdert.

Tre feil som går igjen

Dokumentasjonen er ikke knyttet til beslutninger

Et tiltak uten beslutning, eier og frist er vanskelig å følge opp. Legg derfor inn hvem som godkjente risikoen, hvem som eier tiltaket og når det skal revurderes.

Bevisene lever i for mange systemer

Kontrakter, DPIA-er, sikkerhetslogger, risikovurderinger og avvik kan ligge ulike steder, men de må kunne hentes frem som én forklarbar historie.

Oppdatering skjer bare før revisjon

Dokumentasjon blir svak når den er en årlig ryddejobb. De beste sporene oppstår når endringer, avvik og leverandørbeslutninger oppdateres fortløpende.

Relaterte oppslag i ordlisten

Risikovurdering på tversHva vurderes, når og etter hvilken standard. Leverandørstyring på tversDokumentasjon av databehandlere, IKT-avtaler og forsyningskjeder. Ledelsesansvar på tversHva ledelsen må eie og følge opp. Tilsyn og sanksjonerHva dokumentasjonen må tåle. Dataoverføring på tversFlyt, tilgang og overføringsgrunnlag. Testing og beredskapBevis etter øvelser, tester og forbedring. Revisjon og forbedringHvordan dokumentasjon blir kontroll og læring. Søk i alle begreperAlle 192 begreper på tvers av regelverk.

Status per 16. juni 2026: GDPR, DORA, ekomloven, digitalsikkerhetsloven/-forskriften og sikkerhetsloven gjelder i Norge for virksomheter som omfattes. NIS2 og AI Act er fortsatt ikke fullt gjennomført i norsk rett, men kravene er viktige å forberede seg på for virksomheter som berøres av EU/EØS-regelverket.

Primærkilder og veiledning Datatilsynet om protokoll· Standard Norge om ISO/IEC 27001· Finanstilsynet om DORA· NSM om digitalsikkerhetsloven· NSM om sikkerhetsloven· NIS2-direktivet· EU AI Act

Tilbake til ordlisten

Dokumentasjon på tvers av regelverk