GDPR og samtykke ved SMS-utsendelse: Slik gjør du det riktig

Markedsføringsloven §15 er tydelig: Du kan ikke sende reklame, tilbud eller nyhetsbrev på SMS uten at mottakeren har sagt ja på forhånd. Dette gjelder også når du sender til bedriftskontakter på deres mobilnummer, fordi nummeret følger personen, ikke firmaet.

Servicevarsler til eksisterende kunder er noe annet. Hvis du har et aktivt kundeforhold — kunden har kjøpt noe, booket en time eller bestilt en tjeneste — kan du sende meldinger som handler om akkurat det forholdet. Ordrebekreftelser, leveringsstatus, timepåminnelser og driftsmeldinger faller inn under dette. Men også her må kunden kunne reservere seg mot videre meldinger.

Ansattmeldinger er ikke markedsføring og krever ikke samtykke. Vaktplaner, sikkerhetsvarsler og praktisk informasjon på jobb håndteres som en del av arbeidsforholdet. Likevel gjelder personvernregler for hvordan du lagrer og bruker mobilnumrene.

Den enkleste måten å huske dette på: Hvis du prøver å selge noe eller drive trafikk til nettsiden, trenger du samtykke. Hvis du svarer på noe kunden allerede har bestilt eller spurt om, trenger du det vanligvis ikke — men reservasjonsretten må alltid fremgå.

Et samtykke etter personvernregler og markedsføringsloven må være alle fire deler: aktivt, spesifikt, informert og frivillig. Det høres byråkratisk ut, men i praksis er det enkelt å sjekke.

• Aktivt betyr at kunden selv hukker av en boks eller skriver inn nummeret med en tydelig intensjon. Forhåndsmerkede bokser («Ja, jeg vil motta tilbud» som allerede er kryssa) er ikke gyldige. Det samme gjelder skjult tekst nederst i en lang vilkårstekst.
• Spesifikt betyr at det skal være tydelig hva kunden sier ja til. «Jeg vil motta nyheter og tilbud på SMS fra Bedriften AS» er greit. «Jeg godtar alle vilkår» dekker ikke markedsføringssamtykke.
• Informert betyr at kunden må vite hvem som sender, hva de sender, og hvordan de stopper det. Lenk gjerne til personvernerklæringen ved siden av huk-av-boksen.
• Frivillig betyr at kunden ikke skal måtte takke ja til markedsføring for å få kjøpe produktet eller tjenesten. Det er ikke lov å koble samtykke til kjøp.

Logg når, hvor og hvordan samtykket ble gitt. Hvis Forbrukertilsynet kommer på besøk, må du kunne dokumentere at hver enkelt mottaker faktisk har sagt ja. En enkel database med tidspunkt, IP-adresse og kilde (for eksempel «nettskjema på forsiden, 15. mars 2026») holder.

Det er i gråsonene de fleste går seg vill. Her er typiske meldinger sortert etter om de regnes som markedsføring (krever samtykke) eller servicevarsel (gjør det ikke, så lenge det er et aktivt kundeforhold).

Krever samtykke (markedsføring)

• «Sommerkampanje! 20 % på alt denne uka. Klikk her: ...»
• «Vi savner deg! Kom tilbake og få fri frakt på neste ordre.»
• «Nyhet i butikken: Den nye kolleksjonen er ute nå.»
• «Bursdagstilbud — 100 kr i rabatt hos oss i dag.»
• «Ny webinar om regnskap neste torsdag. Meld deg på.»

Krever ikke samtykke (servicevarsel)

• «Din ordre #1234 er sendt og kommer i morgen.»
• «Påminnelse: Du har time hos oss i morgen kl. 10.»
• «Driftsmelding: Vår nettbutikk er nede for vedlikehold i kveld.»
• «Vi har mottatt din henvendelse og svarer innen 24 timer.»
• «Din betaling på 1 250 kr er bekreftet. Kvittering kommer på e-post.»

Internt eller mellom partnere

• «Vaktplan uke 23 er publisert i appen.» (Til ansatte — ikke markedsføring.)
• «Levering klar for henting på lager 3.» (Til leverandørkontakt — del av forretningsforhold.)

Gråsoner du bør være forsiktig med: En bekreftelses-SMS som også inneholder «Tips: Sjekk ut vårt nyhetsbrev» kan tippe over i markedsføring. Hold de to atskilt. Hvis du absolutt vil tipse om andre produkter, gjør det i en separat melding med samtykke.

Uavhengig av om det er markedsføring eller servicevarsel, må mottakeren forstå hvem som har sendt meldingen. Det er ikke lov å skjule avsenderen bak et tilfeldig nummer eller et generisk navn som «Info».

For markedsføring gjelder i tillegg:

• Tydelig avsender — bedriftsnavnet skal være med, enten som alfanumerisk avsender («Bedriften AS») eller tydelig i selve meldingen.
• Instruksjon for å reservere seg — typisk «Svar STOPP for å avregistrere» eller «STOPP til 1960». Dette må fungere uten ekstra kostnad for kunden.
• Mulighet til å fjerne seg uten å logge inn noe sted — STOPP-svar er standarden, ikke en lenke til en kontoinnstilling.

For servicevarsler trenger du ikke STOPP-instruksjon i hver melding, men kunden må kunne reservere seg mot videre servicevarsler hvis han eller hun ønsker det. I praksis betyr det at SMS-leverandøren din bør håndtere STOPP-svar automatisk uansett meldingstype.

Unngå forkortede lenker fra tjenester som ikke er gjenkjennelige (typisk bit.ly-stil) i markedsføring. Lange, mistenkelige lenker øker andelen som tror det er svindel og rapporterer meldingen. Bruk leverandørens egen lenkeforkorter eller eget domene.

To tilsyn følger med på SMS-utsendinger, og de har ulike roller.

Forbrukertilsynet håndhever markedsføringsloven. Hvis du sender markedsføring uten samtykke, ikke har STOPP-funksjon, eller skjuler avsenderen, er det Forbrukertilsynet du hører fra. De kan gi pålegg om å stanse praksisen og ilegge overtredelsesgebyr.

Datatilsynet håndhever personvernregler. De bryr seg om hvordan du behandler personopplysningene — altså mobilnumrene og samtykke-loggene. Spørsmål som «hvor lagres dataene?», «har du databehandleravtale (en juridisk avtale som regulerer hvordan leverandøren behandler personopplysninger på dine vegne) med leverandøren?» og «hvor lenge oppbevarer du numrene?» faller under Datatilsynet.

I praksis kan en og samme sak treffe begge. Sender du en kampanje-SMS uten samtykke, kan Forbrukertilsynet straffe deg for ulovlig markedsføring, og Datatilsynet kan straffe deg for behandling av personopplysninger uten gyldig grunnlag. Norske bedrifter har fått gebyrer på hundretusener av kroner for SMS-saker som inkluderer begge brudd.

Verste utfall: gebyr på opptil 4 % av årlig omsetning etter personvernregler, eller fast gebyrsats etter markedsføringsloven. For en mindre bedrift snakker vi typisk om gebyrer fra 50 000 til 500 000 kroner avhengig av omfang. Selv om mange saker ender med pålegg uten gebyr, er reglene tydelige nok til at det er enkelt å unngå problemet.

Bruk denne listen som en kontroll før dere setter opp første utsending — eller før dere reviderer rutinene som allerede finnes.

• Logg samtykke per kontakt. Tidspunkt, kilde og en kort tekst om hva kunden sa ja til. Lagre i minst tre år.
• Bruk en huk-av-boks som ikke er forhåndsmerket. Plasser den i tilknytning til en informativ tekst om hva dere sender.
• Sett opp STOPP-håndtering hos leverandøren. Når et nummer svarer STOPP, skal det fjernes fra alle markedsføringssegmenter samme dag.
• Slett kontakter som trekker samtykke. Ikke bare flagg dem som «inaktive» — sletting eller anonymisering er hovedregelen.
• Sjekk databehandleravtale med SMS-leverandøren. De fleste seriøse aktører tilbyr standardavtaler. Sørg for at avtalen beskriver hvor data lagres og hvor lenge.
• Sørg for EU/EØS-lagring eller godkjent overføringsgrunnlag. Hvis leverandøren bruker servere i USA, må de ha standard kontraktbestemmelser eller annen mekanisme på plass.
• Ha en personvernerklæring som dekker SMS-utsendinger. Beskriv hvilke data dere samler, hvor lenge dere lagrer dem og hvilke rettigheter kunden har.
• Gi de ansatte enkel opplæring. De som faktisk sender ut meldingene må forstå skillet mellom markedsføring og service.

Lag rutinene én gang og dokumenter dem i et internt notat. Da har dere noe å vise frem hvis Forbrukertilsynet eller Datatilsynet spør, og nye ansatte slipper å finne opp hjulet på nytt.

Valget av leverandør har faktisk en del å si for hvor enkelt dere kan dokumentere samsvar. To av de mest brukte i Norge:

Meldio er en norsk leverandør med drift på norske servere og kun norske underleverandører. For mindre bedrifter som vil ha datalagring i Norge og enkel dokumentasjon, er dette en åpenbar fordel. Plattformen er på norsk og innkommende svar fra mottakerne fanges opp slik at du kan rydde kontaktlisten manuelt før neste utsending.

LINK Mobility er en stor nordisk aktør med datalagring typisk i EU/EØS og standard databehandleravtaler tilgjengelig. De brukes av mange større norske bedrifter og tilbyr avansert administrasjon for samtykke og preferanser per kunde.

For svært små utsendinger fungerer også enklere verktøy eller direkte integrasjon mot operatører. Sjekk uansett at leverandøren tilbyr:

• Databehandleravtale uten ekstra kostnad
• Tydelig informasjon om hvor data lagres
• Automatisk håndtering av STOPP-svar
• Mulighet til å eksportere eller slette kontaktlister

Hvis leverandøren ikke kan svare klart på disse fire punktene, er det et tegn på at dere bør se etter et annet alternativ.

Noen scenarier dukker opp igjen og igjen. Her er hva som faktisk er lov og ikke lov.

«Jeg fikk visittkort på en konferanse. Kan jeg sende SMS?» Nei, ikke markedsføring. Et utdelt visittkort er ikke et samtykke til SMS-reklame. Du kan ta personlig kontakt om saken dere snakket om, men ikke legge personen inn i et markedsføringssegment.

«Kunden kjøpte noe for to år siden. Teller han fortsatt som eksisterende kunde?» Ja, hvis kundeforholdet er aktivt. Det er ikke en hard grense i loven, men jo lenger siden siste kontakt, desto svakere er argumentet for at det er et reelt kundeforhold. Etter to-tre år bør du ha et nytt samtykke for markedsføring.

«Kan jeg sende SMS til alle ansatte om en intern endring?» Ja, det er ikke markedsføring. Men numrene må være lagret på et lovlig grunnlag (typisk arbeidsforholdet), og du bør ikke bruke jobb-numrene til markedsføring eller annet utenom jobben.

«Kunden har svart STOPP. Kan jeg likevel sende ordrebekreftelse?» Ja. STOPP gjelder vanligvis markedsføring. Servicevarsler knyttet til en konkret ordre eller booking faller utenfor, så lenge kunden faktisk har bestilt noe. Men hvis kunden tydelig sier «slett meg fra alt», bør dere respektere det.

«Kan jeg kjøpe en liste med mobilnumre og sende ut?» Nei. Kjøpte lister inkluderer ikke gyldig samtykke for din bedrift, uansett hva selgeren påstår. Dette har gitt mange gebyrer.

Når noe er uklart: Spør deg selv om du ville vært komfortabel med å forklare avgjørelsen til Forbrukertilsynet. Hvis ikke, finn en tryggere løsning.