tove@tmschei.no
+4791137710

Når persondata lagres i ansattes OneDrive: En tikkende bombe for mange bedrifter

21.03.2026

Er det en risiko å lagre persondata i en privat OneDrive-mappe?

Ja – og mye større enn mange tror. For selv om det kan virke både praktisk og uskyldig, er sikkerheten for persondata slett ikke ivaretatt når informasjon ligger i en mappe som eies og styres av én ansatt.

Kanskje tenker du; «vi kan jo dele mappen ved behov…?"
Og svaret til det spørsmålet er at deling er ikke styring. Deling gir ingen kontroll med hvem som har tilgang, hvor data ligger, hvor lenge det lagres, eller hvordan det slettes. OneDrive-deling passer til midlertidige samarbeid, eks. prosjekt-filer uten sensitiv informasjon.

Det samme gjelder personavhengige SharePoint‑mapper. Litt bedre, ja – men fortsatt ikke i nærheten av godt nok. Når kritisk informasjon ligger gjemt i små, private kroker av Microsoft 365, mister virksomheten oversikten. Og uten oversikt har man heller ingen sikkerhet.

Likevel skjer det hele tiden. Persondata havner i private mapper, ofte helt ubevisst. Det føles enkelt. Praktisk.

Men i realiteten er dette en tikkende sikkerhetsbombe.

Hvorfor?

Når personen forsvinner – forsvinner dataene også

OneDrive er knyttet til én person. Én identitet. Én jobbkonto.

Hvis den ansatte som eier OneDrive‑mappen:

  • slutter
  • blir syk over lengre tid
  • får kontoen deaktivert av IT

… da er tilgangen til dataene som ligger der i praksis tapt

Kanskje tenker du; «Det er vel mulig å få tilgang til denne ansattes One Drive»?

Og svaret er at virksomheten kan få tilgang til en tidligere ansatts OneDrive for å hente ut nødvendige arbeidsfiler, men bare når det er et saklig behov og i tråd med GDPRs krav om begrenset og legitim behandling av personopplysninger.

GDPR-problemene vokser når data ligger på feil sted

Når persondata ligger spredt i private mapper og OneDrive, mister virksomheten kontrollen over hvem som har tilgang, hvem som kan lese filene – og hvem som ikke burde ha tilgang i det hele tatt. Uten oversikt blir riktig tilgangsstyring nesten umulig, og GDPR krever nettopp streng kontroll og at kun ansatte med tjenstelig behov får tilgang. Det er heller ikke tillatt å bruke eller låne andres tilganger.

Når filer lagres i en ansatts private OneDrive-mappe, blir de i realiteten personlige – ikke virksomhetsstyrte – og virksomheten kan miste kontroll over hvor personopplysninger faktisk befinner seg. Uten innsyn, dokumentasjon og sporbarhet står man i direkte brudd med GDPR.

I tillegg forsvinner muligheten for sikker sletting. Persondata kan bli liggende i årevis uten at virksomheten vet om dem, noe som kan gi både økonomiske og omdømmemessige konsekvenser for mange bedrifter.

Datainnbrudd + persondata i OneDrive = katastrofe

Hvis en konto til en ansatt blir utsatt for phishing eller tatt i bruk av noen som har fått tak i passordet, får uvedkommende direkte tilgang til den ansattes OneDrive. Dersom det ligger HR‑dokumenter, lønnsfiler eller annen sensitiv persondata der, kan disse være tilgjengelige uten at virksomheten merker det.

Konsekvensene kan bli alvorlige: avviksmelding til Datatilsynet, varsling til berørte ansatte, store kostnader, tap av tillit og betydelig omdømmerisiko. Når skaden først har skjedd, er det vanskelig å forklare «manglende struktur» som årsak.

Dette er ikke HR sitt ansvar – dette er virksomhetens ansvar

Mange tenker fortsatt at HR "eier" persondata, men dette er virksomhetskritisk informasjon som må forvaltes på organisasjonsnivå. Ansvar for lagring, struktur og tilgangsstyring kan ikke ligge hos HR alene, men må inngå i virksomhetens arbeid GDPR.

Den glemte siden av saken: Arbeidsgivers ansvar – og ansattes rettigheter

Arbeidsgiver har et lovpålagt ansvar for å behandle ansattes persondata korrekt, sikkert og sporbart – fra registrering og oppdatering til tilgangsstyring, lagring og sletting.

Samtidig har ansatte rett til å forvente at data lagres riktig, behandles dokumenterbart og slettes når arbeidsforholdet avsluttes. Persondata er ikke HR sin "eiendom", men et virksomhetsansvar som handler om både tillit, sikkerhet og lovverk.

Men hva bør bedriftene gjøre i stedet?

  • Bruke et HR-system (som er integrert med lønnssystemet, og aller helst også Entra-ID)
    Dett er systemer som er bygget for sikkerhet, tilgangsstyring og dokumentkontroll – ikke private mapper og OneDrive. Kun i nød SharePoint, men da med en tilgangskontroll som understøtter GDPR.
  • Unngå at ansatte finner egne "løsninger"
    Uten tydelige prosesser ender data i OneDrive, på skrivebordet eller i tilfeldige mapper.
  • Tenk sikkerhet før AI
    Ustrukturert data gir uforutsigbare og potensielt risikable resultater i bruk av Copilot og andre AI‑verktøy.

Riktig lagring og klare prosesser gir tryggere og mer presise AI‑resultater.

  • Etablere gode slettingsrutiner ved avsluttet arbeidsforhold
    Dette er et lovkrav, ikke et valg – og helt nødvendig for å unngå persondata som blir liggende ukontrollert.

Konklusjon

For mange bedrifter er det på tide å ta datalagring på alvor – og gjøre det riktig.

Å lagre persondata på en medarbeiders private OneDrive-konto kan virke som en enkel løsning i hverdagen. Men når situasjonen endrer seg, kan dette raskt føre til at virksomheten mister både kontroll og oversikt. Konsekvensene kan bli betydelige – både økonomisk, juridisk og omdømmemessig.

Det er derfor på tide å ta strukturen rundt persondata på alvor. Ikke fordi det er kjedelig, men fordi det er nødvendig. Dette handler ikke bare om teknologi, men om ansvar, trygghet og respekt – for både virksomheten og de ansatte.

Hva blir kostnaden – økonomisk eller omdømmemessig – dersom dette ikke tas tak i?

Share