·10 min·Applirank
GDPRrekrutteringpersonverncomplianceHRbakgrunnssjekkDatatilsynet

Bakgrunnssjekk ved ansettelse: Regler for norske arbeidsgivere (2026)

Bakgrunnssjekk i rekruttering er et minefelt der mange norske bedrifter gjør feil uten å vite det. En Google-søk på kandidatens navn, en rask titt på Facebook-profilen, eller en uformell telefon til forrige arbeidsgiver — alt dette er behandling av personopplysninger som krever et gyldig behandlingsgrunnlag etter GDPR.

Datatilsynet har de siste årene ilagt flere virksomheter overtredelsesgebyr for ulovlige bakgrunnssjekker, inkludert kredittvurderinger uten rettslig grunnlag. I denne guiden går vi gjennom hva norsk lov faktisk tillater, hva som er forbudt, og hvordan du strukturerer bakgrunnssjekken slik at du unngår bøter og sanksjoner fra Datatilsynet.

Hva er en bakgrunnssjekk i rekruttering?

Bakgrunnssjekk (også kalt bakgrunnsundersøkelse) er enhver systematisk innhenting av opplysninger om en jobbsøker utover det kandidaten selv oppgir i søknad og intervju. Det omfatter blant annet:

  • Kredittsjekk (kredittvurdering) — innhenting av kredittopplysninger fra kredittopplysningsbyrå
  • Politiattest (vandelssjekk / vandelskontroll) — dokumentasjon av straffbare forhold
  • Referansesjekk — kontakt med tidligere arbeidsgivere eller kolleger
  • Søk i sosiale medier — gjennomgang av kandidatens offentlige profiler
  • Google-søk — søk på kandidatens navn og historikk
  • Helseundersøkelse — medisinsk testing før ansettelse
  • Personlighetstest — psykometrisk kartlegging

Felles for alle disse er at de innebærer behandling av personopplysninger etter personopplysningsloven (GDPR). Det betyr at arbeidsgiver trenger et rettslig grunnlag og må følge prinsippene om dataminimering, formålsbegrensning og informasjonsplikt.

Rettslig rammeverk: Hvilke lover gjelder?

Flere lover regulerer bakgrunnssjekk ved rekruttering i Norge. Her er de viktigste:

LovHva den regulerer
Personopplysningsloven / GDPRAlle former for behandling av personopplysninger, inkludert bakgrunnssjekk
Likestillings- og diskrimineringsloven § 30Forbud mot å innhente opplysninger om graviditet, religion, etnisitet, funksjonsnedsettelse, seksuell orientering m.m.
Arbeidsmiljøloven § 9-3Regler for innhenting av helseopplysninger og medisinsk undersøkelse ved ansettelse
Politiregisterloven kap. 7Når arbeidsgiver kan kreve politiattest (vandelskontroll)
Politiregisterforskriften del 8Detaljerte regler for utstedelse og oppbevaring av politiattest

Samspillet mellom disse lovene gjør bakgrunnssjekk komplekst. Det som er teknisk mulig, er ikke nødvendigvis lovlig — og det som er lovlig, krever ofte strenge vilkår.

Hva har arbeidsgiver IKKE lov til å spørre om?

Likestillings- og diskrimineringsloven § 30 setter en absolutt grense for hva du kan innhente i en ansettelsesprosess. Arbeidsgiver kan aldri spørre om:

  1. Graviditet, adopsjon eller planer om å få barn
  2. Religion eller livssyn
  3. Etnisitet
  4. Funksjonsnedsettelse
  5. Seksuell orientering
  6. Kjønnsidentitet eller kjønnsuttrykk
  7. Samlivsform

Forbudet gjelder opplysninger som innhentes både direkte fra søkeren og på annen måte — for eksempel gjennom referanser, sosiale medier eller Google-søk.

Det finnes snevre unntak der opplysningene har «avgjørende betydning for utøvelsen av arbeidet eller yrket». For samlivsform, religion og livssyn gjelder et eget unntak for virksomheter som har til formål å fremme bestemte livssyn eller religiøse syn, men dette må oppgis i stillingsutlysningen. For ordinære stillinger gjelder forbudet uten unntak.

Brudd kan føre til oppreisning og erstatning etter lovens § 38.

💡 Tips: Et moderne ATS-system som Applirank lar deg bygge strukturerte søknadsskjema som kun samler inn relevante opplysninger — og dermed reduserer risikoen for diskrimineringsklager.

Kredittsjekk av jobbsøkere: Bare i spesielle tilfeller

Mange arbeidsgivere tror de kan kjøre en kredittsjekk på alle finalekandidater. Det stemmer ikke.

Datatilsynet uttaler at kredittsjekk bare kan foretas på søkere i sluttfasen av ansettelsesprosessen, og kun der det foreligger en klar sammenheng mellom den aktuelle stillingen og arbeidstakerens privatøkonomi. Det må foreligge et saklig behov, og arbeidsgiverens interesser må veie tyngre enn arbeidssøkerens personvern.

I praksis betyr dette at følgende kumulative vilkår må være oppfylt:

  1. Stillingen må ha en overordnet funksjon — typisk lederroller eller stillinger med betydelig ansvar
  2. Det må foreligge en klar sammenheng mellom stillingen og privatøkonomien — tilgang til virksomhetens midler, leverandøravtaler eller kundereskontro
  3. Sjekken skal kun gjøres på kandidater i sluttfasen — aldri som grovsortering av søkere

Eksempler: Lov eller ikke lov?

StillingKredittsjekk tillatt?Begrunnelse
Økonomisjef i bank✅ JaOverordnet funksjon + klar sammenheng med privatøkonomi
Kassaoperatør i butikk❌ NeiIkke overordnet funksjon, begrenset økonomisk ansvar
CFO i mellomstort selskap✅ JaToppledelse med direkte ansvar for finanser
Selger med klientkonto⚠️ MuligAvhenger av størrelsen på økonomisk ansvar
Vaktmester❌ NeiIngen overordnet funksjon eller klar økonomisk sammenheng

Behandlingsgrunnlaget for kredittsjekk er berettiget interesse (GDPR art. 6 nr. 1 bokstav f). Du må dokumentere en konkret interesseavveining før du bestiller sjekken. Den som blir kredittsjekket, har krav på et gjenpartsbrev som informerer om dette.

Datatilsynet har ilagt flere virksomheter overtredelsesgebyr i størrelsesordenen 75 000 til 1 000 000 kroner for ulovlige kredittvurderinger.

Sletting av kredittvurderinger

Kredittvurderingen skal slettes så snart den ikke lenger er nødvendig for formålet. I praksis betyr det:

  • Kandidaten ansettes ikke: Slett umiddelbart etter at avgjørelsen er tatt
  • Kandidaten ansettes: Slett senest når ansettelsesforholdet er etablert og eventuell prøvetid er bestått

Les mer om slettefrister i vår guide om slettefrister for jobbsøknader.

Politiattest (vandelssjekk): Kun med hjemmel i lov

Politiattest (vandelskontroll) kan bare kreves når det finnes en konkret hjemmel i lov eller forskrift. «Vi vil dobbeltsjekke» eller «det er standard i bransjen» er ikke gyldig grunnlag.

Når er politiattest lovlig å kreve?

Politiregisterloven kapittel 7 og politiregisterforskriften del 8 regulerer dette. Vanlige tilfeller der politiattest er lovpålagt:

  • Arbeid med barn og unge — barneomsorgsattest (barnevernsloven, opplæringslova)
  • Helse- og omsorgssektoren — helse- og omsorgstjenesteloven § 5-4
  • Sikkerhetsbransjen — vaktvirksomhetsloven
  • Transportbransjen — luftfartsloven, yrkestransportlova
  • Forsvarssektoren — sikkerhetsloven
  • Frivillige organisasjoner — politiregisterforskriften kapittel 34 (begrenset attest for oppgaver som innebærer tillits- eller ansvarsforhold overfor mindreårige eller personer med utviklingshemming)

I tillegg kan politiregisterforskriften kapittel 34 gi hjemmel for politiattest på områder uten særskilt lovregulering, for eksempel for ansatte i fritidsklubber, barne- og ungdomsleirer, incestsentre og låsesmeder.

Når arbeidsgiver ikke har anledning til å kreve politiattest, kan arbeidsgiver heller ikke be om en erklæring om at arbeidssøkeren ikke har noe negativt registrert på vandel.

Oppbevaring og sletting av politiattest

Ifølge politiregisterforskriften § 37-2 skal politiattester:

  • Oppbevares slik at de er utilgjengelige for uvedkommende
  • Oppbevares så lenge det er nødvendig for formålet med politiattesten
  • Slettes senest når vedkommende slutter i stillingen som ga grunnlaget for vandelskontrollen
  • Politiattester som ikke lenger er nødvendige for formålet, skal tilintetgjøres

Aldri lagre politiattester digitalt i e-postinnbokser eller delte mapper. Bruk et sikkert ATS-system med tilgangskontroll som logger hvem som har åpnet dokumentet.

Referansesjekk: Vanlig, men regulert

Referansesjekk er den vanligste formen for bakgrunnssjekk i Norge. Likevel er det flere regler som ofte brytes:

Hovedregler for referansesjekk

  • Samtykke først: Kontakt aldri en referanseperson uten kandidatens uttrykkelige samtykke
  • Ikke nåværende arbeidsgiver uten eksplisitt tillatelse — kandidaten har ofte ikke sagt opp
  • Saklige spørsmål: Still kun spørsmål som er relevante for stillingen. Spør om arbeidsprestasjoner, samarbeidsevner og relevant kompetanse — aldri om sykefravær, familiesituasjon eller fagforeningsmedlemskap
  • Informasjonsplikt: Kandidaten har krav på å vite hvilke opplysninger som er innhentet

Typiske feil ved referansesjekk

Mange HR-avdelinger synder mot GDPR ved referansesjekk. De tre vanligste feilene:

  1. Ringe referanser kandidaten ikke har oppgitt — f.eks. eget nettverk i bransjen
  2. Spørre om private forhold — sykefravær, konflikter, personlighet utenfor jobbkontekst
  3. Ikke dokumentere hva som ble sagt — gjør det umulig å etterkomme innsynsbegjæringer

Søk i sosiale medier og Google-søk

Å søke opp en kandidat på Google, Facebook, Instagram eller LinkedIn er utbredt, men ja, det er behandling av personopplysninger som krever behandlingsgrunnlag.

Er det lov å Google-søke en kandidat?

Datatilsynet har uttalt at arbeidsgiver kan innhente offentlig tilgjengelig informasjon, men kun dersom:

  • Det finnes et saklig behov knyttet til stillingen
  • Informasjonen er relevant for vurderingen av kandidatens egnethet
  • Kandidaten informeres om at slik sjekk gjennomføres
  • Informasjonen ikke brukes til å diskriminere på grunnlag som er vernet etter loven

Hva du bør unngå ved SoMe-sjekk

  • Ikke bruk private SoMe-profiler som beslutningsgrunnlag (Facebook-bilder fra ferie, politiske meninger)
  • Ikke ta skjermbilder og lagre disse i kandidatens mappe uten at kandidaten vet det
  • Aldri vurder kandidater basert på utseende, alder, etnisitet eller andre forhold du ser i profilen — dette kan utgjøre indirekte diskriminering etter likestillings- og diskrimineringsloven § 6

I praksis anbefaler vi å ha en tydelig policy der kun én person i rekrutteringsteamet gjennomfører eventuelle SoMe-sjekk, med dokumenterte kriterier for hva som er relevant.

Helseundersøkelser og personlighetstester

Helseundersøkelser (arbeidsmiljøloven § 9-3)

Arbeidsmiljøloven § 9-3 forbyr i utgangspunktet innhenting av helseopplysninger ved ansettelse. Arbeidsgiver kan bare kreve medisinsk undersøkelse i to tilfeller:

  1. Det følger av lov eller forskrift (f.eks. helsekrav for piloter, sjøfolk, yrkessjåfører)
  2. Stillingen innebærer særlig risiko og undersøkelsen er nødvendig for å vurdere om søkeren er skikket

Generell helsesjekk for kontorjobber er ikke tillatt. Forbudet omfatter også spørsmål om tidligere sykefravær, medisin- og narkotikabruk og sosiale forhold som kan påvirke helsen.

Personlighetstester

Personlighetstester som MBTI, Big Five eller lignende er ikke direkte regulert i lov, men faller inn under GDPR som behandling av personopplysninger. Det betyr:

  • Du trenger et behandlingsgrunnlag (typisk samtykke eller berettiget interesse)
  • Kandidaten skal informeres om formålet og hvordan resultatene brukes
  • Resultater skal slettes når de ikke lenger er nødvendige
  • Testresultater skal aldri brukes som eneste beslutningsgrunnlag

Datatilsynet presiserer at arbeidsgiver kan be om, men ikke kreve, at du gjennomfører en personlighetstest. Kandidaten har alltid mulighet til å si nei.

Hva sier Datatilsynet om bakgrunnssjekk?

Datatilsynets veileder om bakgrunnsundersøkelser pålegger arbeidsgiver å følge de generelle reglene i personvernforordningen (GDPR) ved all behandling av personopplysninger i rekruttering. Spesielt fremhever Datatilsynet:

  • Informasjonsplikt: Arbeidsgiver skal gi informasjon om behandlingen til arbeidssøkerne — inkludert hvilke bakgrunnssjekker som vil gjennomføres
  • Dataminimering: Kun opplysninger som er nødvendige for det konkrete formålet, kan innhentes
  • Formålsbegrensning: Opplysninger som er innhentet for ett formål, kan ikke brukes til et annet
  • Lagringsminimering: Opplysninger skal slettes når de ikke lenger er nødvendige for ansettelsesprosessen

Det er verdt å merke seg at det ikke kreves konsesjon fra Datatilsynet for å gjennomføre bakgrunnssjekk, men arbeidsgiver har likevel fullt ansvar for at behandlingen er lovlig.

Slik gjennomfører du en lovlig bakgrunnssjekk: 6 trinn

Her er en praktisk sjekkliste for rekrutteringsansvarlige som vil holde seg innenfor regelverket:

  1. Kartlegg behovet — Vurder hvilke sjekker som er nødvendige og proporsjonale for den konkrete stillingen. Ikke bruk samme mal for alle stillinger.
  2. Dokumenter behandlingsgrunnlaget — Før du starter, skriv ned hvorfor sjekken er nødvendig og hvilket rettslig grunnlag du bruker (samtykke, berettiget interesse, rettslig forpliktelse).
  3. Informer kandidaten — Gi tydelig beskjed om hvilke sjekker som vil gjennomføres, helst allerede i stillingsannonsen eller tidlig i prosessen.
  4. Innhent samtykke der det kreves — Spesielt for referansesjekk og personlighetstester. Samtykket skal være frivillig, spesifikt og dokumentert.
  5. Gjennomfør sjekken i sluttfasen — Bakgrunnssjekk bør skje etter at kandidaten er kommet til kort- eller finaleliste. Aldri som første screening av alle søkere.
  6. Slett opplysningene — Følg retningslinjene for slettefrister og sørg for at kredittvurderinger, politiattester og testresultater fjernes når de ikke lenger trengs.

Konsekvenser av ulovlig bakgrunnssjekk

Brudd på reglene kan få alvorlige følger. Datatilsynet har myndighet til å ilegge overtredelsesgebyr etter GDPR artikkel 83, og Diskrimineringsnemnda kan tilkjenne oppreisning ved brudd på likestillings- og diskrimineringsloven. I tillegg risikerer virksomheten:

  • Omdømmeskade — negativ mediedekning påvirker employer branding og evnen til å tiltrekke talent
  • Rettslige prosesser — kandidater kan klage til Datatilsynet eller ta saken til Diskrimineringsnemnda
  • Intern uro — ansatte mister tillit til arbeidsgivers behandling av personopplysninger

Den beste forebyggingen er å ha tydelige interne retningslinjer og bruke et ATS-system med innebygd personvernstøtte som styrer prosessen.

Kom i gang med Applirank

Applirank er et norskutviklet rekrutteringssystem med innebygd GDPR-støtte, automatisk sletting av kandidatdata og strukturerte søknadsskjema som hjelper deg å samle inn kun relevante opplysninger. Reduser risikoen for personvernbrudd og diskrimineringsklager — og spar tid i rekrutteringsprosessen.

Prøv Applirank gratis →

Ofte stilte spørsmål om bakgrunnssjekk ved ansettelse

Kan arbeidsgiver sjekke kandidaters sosiale medier?

Ja, men kun offentlig tilgjengelig informasjon som er relevant for stillingen. Kandidaten bør informeres om at slik sjekk gjennomføres, og informasjonen kan aldri brukes til å diskriminere på grunnlag av kjønn, etnisitet, religion, seksuell orientering eller andre vernede grunnlag etter likestillings- og diskrimineringsloven § 30.

Når er det lov å kreve kredittsjekk av jobbsøkere?

Kredittsjekk er kun lovlig for stillinger med overordnet funksjon og klar sammenheng mellom stillingen og arbeidstakerens privatøkonomi, og bare i sluttfasen av rekrutteringsprosessen. Eksempler er økonomisjef og CFO — ikke kassamedarbeidere eller ordinære kontorjobber. Datatilsynet har ilagt bøter for ulovlige kredittvurderinger.

Må kandidaten gi samtykke til referansesjekk?

Ja. Du skal aldri kontakte en referanseperson uten kandidatens uttrykkelige samtykke. Dette gjelder spesielt nåværende arbeidsgiver, som kandidaten kanskje ikke har informert om at vedkommende søker ny jobb.

Hvor lenge kan arbeidsgiver oppbevare politiattester?

Politiattester skal oppbevares utilgjengelig for uvedkommende og slettes når de ikke lenger er nødvendige for formålet — senest når vedkommende slutter i stillingen som ga grunnlaget for vandelskontrollen (politiregisterforskriften § 37-2).

Hva risikerer man ved ulovlig bakgrunnssjekk?

Brudd på GDPR kan medføre bøter på opptil 20 millioner euro eller 4 % av global omsetning. Brudd på likestillings- og diskrimineringsloven § 30 kan gi oppreisning og erstatningsansvar. I tillegg kan virksomheten få pålegg fra Datatilsynet og omdømmeskade.

Er det lov å kreve personlighetstest ved ansettelse?

Arbeidsgiver kan be om, men ikke kreve, personlighetstest. Kandidaten skal informeres om formålet, testresultatene må behandles i henhold til GDPR, og testresultater skal aldri brukes som eneste grunnlag for avslag. Kandidaten bør gi informert samtykke, og resultatene må slettes etter endt prosess.

Hva er forskjellen på politiattest og vandelssjekk?

Politiattest og vandelssjekk brukes ofte om hverandre. Formelt er vandelskontroll fellesbetegnelsen i politiregisterloven kapittel 7, mens politiattest er det konkrete dokumentet som utstedes. Begge krever hjemmel i lov eller forskrift.

Kan arbeidsgiver spørre om sykefravær i referansesjekk?

Nei. Arbeidsmiljøloven § 9-3 forbyr i utgangspunktet innhenting av helseopplysninger ved ansettelse. Spørsmål om sykefravær regnes som helseopplysninger og er forbudt — også overfor referansepersoner.

Prøv Applirank gratis

Opplev AI-drevet rekruttering med Norges mest brukervennlige ATS-system. Kom i gang på under 5 minutter.

Kom i gang gratis
Tilbake til blogg

© 2026 Applirank. Alle rettigheter reservert.