Det finnes lover og regler som angir hvilken informasjon det er lov til å lagre i en database. De viktigste reglene finnes i Lov om personvern. En lov som blir håndhevet av Datatilsynet. Et offentlig oppnevnt organ som skal holde seg og andre orientert om utviklingen i bruk av personopplysninger. Gi råd og rettledning om personvern og datasikring til de som har eller planlegger å opprette personregister. Kontrollere at lovgivningen blir fulgt og sørge for at feil og mangler blir rettet. Datatilsynet gir også uttalelser som gjelder bruk av personopplysninger.

Personregistre er registre, fortegnelser m.m. med personopplysninger lagret slik at opplysninger om fysiske eller juridiske personer kan finnes igjen. Dette medfører f.eks. at et register over telefonnummer i forbindelse med installering av telefondebiteringsutstyr vil være et personregister. Det samme gjelder et register sortert på bilnummer.

Lov om personvern krever at registrering av personopplysninger skal være saklig begrunnet. Skal det registreres følsomme opplysninger i registret, kan dette ikke gjøres uten konsesjon fra Datatilsynet. Som følsomme opplysninger regnes:

·      Informasjon om rase, politisk eller religiøs oppfatning

·      at en person har vært mistenkt, tiltalt eller dømt for straffbart forhold

·      Helsemessige forhold eller misbruk av rusmidler

·      Seksuelle forhold

·      Familieforhold som ikke gjelder slektskap eller familestatus, formuesordninger mellom ektefeller og forsørgelsesbyrde.

Loven krever også at alle som skal opprette personregister på EDB, har plikt til å søke Datatilsynet om konsesjon før registeret blir opprettet. Følgende registrer er imidlertid unntatt konsesjonsplikten:

·      Foreningens medlemsregistre

·      Kunde-, abonnements- og levrandørregister

·      Kunderegister i banker

·      Forsikrings- og utlånsregistre i livsforsikringsselskaper

·      Leietakerregister

·      Adresseregistre

·      Katalog-, låne- og utlånsregistre i bibliotekene

·      Advokaters manuelle arkiv/registre

·      Legers, tannlegers, psykologers eller annet godkjent helespersonells manuelle registre.

·      Registre opprettet i medhold av lov om aksjeselskaper

·      Lønns- og personregistre

·      Forlagenes personarkiver

·      Dags- og ukepressens personregistre

I henhold til lov om personvern, er det kun tillatt med følgende data i et kunderegister:

·      Navn

·      Kontaknummer og kontaktperson

·      Konseropplysninger

·      Adresseopplysninger

·      Opplysninger om nummer for telefon, telefax og andre teletjenester

·      Kontonummer bank/post og andre opplysninger i den sammenheng

·      Rubriseringsdata

·      Inkasso- og utbetalingsopplysninger

·      Kredittgrense

·      Betalingsbetingelser

·      Aldersfordeling av saldoposter

·      Purringstatus

Ønsker man å registrere data utover det som er opplistet må man søke Datatilsynet om konsesjon.