GDPR

GDPR for små virksomheder — en praktisk guide

Alt hvad du skal vide om GDPR som dansk SMV. Databehandleraftaler, dokumentation, databrud og praktiske trin til compliance.

12 min læsning
Karakter med GDPR-skjold

Hvad er GDPR egentlig?

GDPR (Generel Forordning om Databeskyttelse) er en europæisk lov, der trådte i kraft den 25. maj 2018. Den regulerer, hvordan virksomheder må indsamle, lagre og behandle persondata fra mennesker.

🇪🇺 EU-forordning 2016/679 (GDPR): Forordningen gælder direkte i alle EU-lande og suppleres i Danmark af databeskyttelsesloven (lov nr. 502 af 23. maj 2018). Tilsynsmyndigheden er Datatilsynet. Bøder kan nå op til EUR 20 mio. eller 4 % af den globale årsomsætning (det højeste beløb gælder) for alvorlige overtrædelser, og op til EUR 10 mio. eller 2 % for mindre alvorlige.

For en dansk småvirksomhed betyder det helt konkret, at du skal vide hvilke data du indsamler, hvad du bruger dem til, og hvordan du passer på dem. Om du har 2 eller 200 ansatte, gælder reglerne for dig.

Vigtigt: GDPR handler ikke kun om internettet og store it-systemer. Det gælder også papirbaserede kundekartoteker, ansættelsesarkiver og Excel-lister med kontaktoplysninger.

De 7 principper for databehandling

Når du håndterer persondata, skal du følge 7 grundlæggende principper. Disse principper er som et fundament for alt GDPR-arbejde:

Lovlighed

Du skal have et juridisk grundlag for at indsamle og behandle data. F.eks. samtykke, kontrakt eller anden lovlig grund.

Formålsbegrænsning

Du må kun bruge data til det formål, du har indsamlet dem til. Ikke til alt muligt andet senere hen.

Dataminimering

Indsaml kun de data, du rent faktisk har brug for. Ikke mere. Jo mindre data, desto mindre risiko.

Nøjagtighed

Data skal være korrekte og holdes opdaterede. Hvis en kunde skriver sit navn forkert, skal du have mulighed for at rette det.

Lageringsbegrænsning

Du må ikke gemme data længere end nødvendigt. Når datoen for sletning er nået, skal dataene slettes.

Integritet & Fortrolighed

Data skal beskyttes mod uautoriseret adgang, ændring eller ødelæggelse. Brug kryptering og sikre passwords.

Ansvarlighed

Du skal kunne dokumentere, at du følger reglerne. Før registreringer, policyer og dokumentation.

Hvornår skal du have en databehandleraftale?

En databehandleraftale er en vigtig kontrakt, du skal have på plads — eller som skal være på plads for dig.

📜 GDPR artikel 28: Kravet om databehandleraftaler følger direkte af GDPR artikel 28, som fastslår at behandling foretaget af en databehandler skal reguleres af en kontrakt, der bl.a. specificerer behandlingens genstand, varighed, art og formål.

Du skal have en databehandleraftale, når:

  • Du bruger en ekstern leverandør til IT-drift (f.eks. cloud-service, web-hosting, e-mail-løsning)
  • En anden virksomhed behandler dine kundedata (f.eks. en revisor, bogholder, eller marketingbureau)
  • Du outsourcer payroll eller HR-funktioner
  • Du bruger en telemarketing-partner eller callcenter
Advarsel: Mange små virksomheder glemmer at få databehandleraftaler på plads. Hvis der opstår et databrud, kan manglende aftaler få alvorlige konsekvenser for dig selv.

Databehandleraftalen skal indeholde specifikke krav til sikkerhed, adgang til data, og hvad der sker, hvis der er problemer. Den er typisk en bilateralt bindende aftale (standard GDPR-tekst).

Påkrævet dokumentation og fortegnelser

En central del af GDPR er at kunne dokumentere, hvad du gør. Du skal vedligeholde en "fortegnelse over behandlingsaktiviteter" (ofte kaldet et dataregister).

Gode nyheder: Du behøver ikke at være juridisk ekspert for at lave dette. En god, simpel skabelon eller system kan gøre arbejdet meget nemmere.

Din fortegnelse bør indeholde:

Punkt Eksempel
Hvilke data? Navn, e-mail, telefonnummer, købehistorik
Fra hvem indsamler du det? Fra kunderne via web-formular eller direkte kontakt
Hvad er formålet? Levering af ordre, kundesupport, markedsføring
Hvor gemmes det? Google Workspace, lokale filer, CRM-system
Hvor længe gemmes det? 3 år efter sidste kontakt, eller ifølge bogføring
Hvem har adgang? Salgs- og supportteamet, administratorer

Denne dokumentation skal være tilgængelig og opdateret. Den demonstrerer over for tilsynsmyndigheder, at du arbejder seriøst med databeskyttelse.

Medarbejderdata — hvad skal du vide?

Når du ansætter folk, behandler du sensitive persondata: CPR-nummer, bankoplysninger, straffeattester (eventuelt), og meget mere.

Vigtige regler for medarbejderdata:

  • Du skal have en dataansvarlig. Der skal være en ansvarlig person, der passer på data. Det kan være dig selv som ejer, eller en delegeret person.
  • Oplysninger skal være sikre. Ansættelsesarkiver skal holdes aflåst. Digitale systemer skal have adgangskontrol.
  • Data slettes efter relevant opbevaringstid. Typisk 5 år efter jobbet slutter (skatteretlige krav).
  • Medarbejdere har rettigheder. De kan bede om deres data, få dem rettet, eller i nogle tilfælde få dem slettet.
Huskeregel: Behandl medarbejderdata mindst så forsvarligt som kundedata. De er lige vigtige.

Kundedata og markedsføringskontakt

Markedsføring uden samtykke er en klassisk GDPR-fælde for små virksomheder. Her er hvad du skal vide:

Markedsføring via e-mail

  • Du skal have eksplicit samtykke før du sender markedsføringsmails til private personer.
  • Et "valg" på checkout-siden, hvor boksen er forudmarkeret, er IKKE gyldigt samtykke.
  • Hvis du arver en kundelist fra et opkøbt firma, skal du få nyt samtykke.
  • E-mails skal indeholde en nem mulighed for at framelde sig (afmeldingslink).

SMS og push-notifikationer

Samme regler som e-mail: du skal have eksplicit samtykke først.

Markedsføring til virksomheder

Her er reglerne lidt mindre strenge. Du kan typisk kontakte en virksomheds kontaktinformation uden forudgående samtykke, men du skal stadig have en validt juridisk grund.

Vigtig bemærkning: Samtykket skal være "informeret" — personen skal vide, hvad de accepterer. En lang vilkårside, som folk aldrig læser, tæller ikke.

Databrud — hvad skal du gøre?

Et databrud er, når persondata er kommet i fare: et hackerangreb, en bærbar computer blev stjålet, eller medarbejder sender kundedata til forkert e-mail-adresse.

📜 GDPR artikel 33 & 34: Artikel 33 kræver anmeldelse til Datatilsynet inden 72 timer efter opdagelse af et brud, der kan udgøre en risiko for personers rettigheder. Artikel 34 kræver desuden direkte underretning af de berørte personer, hvis risikoen er høj.

De vigtigste trin når et databrud sker:

1

Øjeblikkelig handling

Hold op med at bruge det berørte system. Isoler problemet. Ring til IT-support.

2

Vurder omfanget

Hvilke data var involveret? Hvor mange personer? Hvor alvorligt er brudet?

3

Dokumentér grundigt

Dokumentér alt: tidspunkt, data, handlinger, personer involveret. Dette vil blive vigtig senere.

4

Giv tilsynsmyndighederne besked (72 timer regel)

Hvis brudet medfører risiko for personers rettigheder, skal du meddele Datatilsynet inden for 72 timer. I Danmark går du til Datatilsynet.dk

5

Informér de berørte personer

Hvis risikoen er høj, skal de berørte personer også informeres. Brev eller e-mail med detaljer og råd.

6

Forhindring fremover

Hvad gik galt? Implementer bedre sikkerhed for at forhindre det igen.

Vigtigste regel: Du har 72 timer fra du opdager brudet til du skal give tilsynsmyndighederne besked. Det er ikke meget tid — så hav en plan klar på forhånd.

Hyppige fejl små virksomheder begår

Her er de fejl, vi ser igen og igen blandt danske småvirksomheder. Undgå disse:

Fejl #1: Uklar eller ingen samtykkesamling

Mange bruger uklare e-mailformularer eller har ingen tydelig GDPR-information. Rediger dine formularer så samtykket er klart, eksplicit og nem at trække tilbage.

Fejl #2: Ingen databehandleraftaler

Glemmer at få aftaler på plads med IT-leverandører, revisorer osv. Dette kan få dyre juridiske konsekvenser. Gennemgå din leverandørkæde.

Fejl #3: Manglende privatlivspolitik

Websiden skal have en tydelig privatlivspolitik, der forklarer hvordan du bruger data. Det er både lovkrav og forbrugervenlighed.

Fejl #4: Ingen sletningspolitik

Du skal vide, hvornår data skal slettes. En gammel kundelist fra 10 år siden skal ikke stadig ligge på serveren.

Fejl #5: Svag IT-sikkerhed

Svage passwords, ingen 2FA, delte login-oplysninger. Hvis en hacker kommer ind, er alle data kompromitterede. Invester i grundlæggende sikkerhed.

Fejl #6: Ingen dokumentation

Du skal have en fortegnelse over, hvad du gør med data. Uden den kan du ikke bevise, at du følger reglerne.

Praktiske trin til GDPR-compliance

Ok, hvad gør du konkret nu? Her er en handlingsplan, du kan få gang i:

1

Lav en databestandsopgørelse

Kortlæg al persondata, du behandler. Hvilke data? Fra hvem? Hvor gemmes det?

2

Kontrollér dine leverandør-aftaler

Ring til alle eksterne leverandører (IT, host, revisor, bank osv.). Sikr dig, at I har gyldige databehandleraftaler.

3

Opret eller opdatér privatlivspolitik

Skriv (eller lad skrive) en klar privatlivspolitik til dine hjemmeside og systemer.

4

Gennemgå samtykkesamling

Tjek alle formularer og sign-up-processer. Er samtykket klart og explicit?

5

Etablér sletningsprocedurer

Definer hvor længe hver type data gemmes. Sæt en process op til at slette gamle data regelmæssigt.

6

Forbedre IT-sikkerhed

Kræv stærke passwords, implementér 2FA for vigtige systemer, lås fortrolige arkiver.

7

Opret databrudplan

Hvad gør du, hvis der er et brud? Hvem ringer du til? Hvilke data skal gemmes?

8

Uddann dine medarbejdere

Enkle GDPR-regler bør være kendt blandt teamet. Hvem må se kundedata? Hvordan håndteres følsomme oplysninger?

Positivt perspektiv: GDPR-compliance er ikke en engangsopgave. Det handler om at skabe gode rutiner. En gang du har systemerne på plads, bliver det lettere at vedligeholde.

Få styr på GDPR med LovBot

De fleste GDPR-dokumenter er tekniske og tidskrævende at skrive fra bunden. LovBot genererer professionelle, juridisk solide dokumenter tilpasset din virksomhed — på dansk og på få minutter.

Databehandleraftaler Privatlivspolitikker Samtykkeformularer Behandlingsfortegnelser

Skræddersyet til dansk lovgivning — ikke generiske skabeloner.

Opret GDPR-dokumenter gratis →

Afsluttende tanker

GDPR kan virke overvældende, men det handler i virkeligheden om respekt for privatlivets fred og ansvarlig datahåndtering. Det er god forretningspraksis.

Start lille: få dine vigtigste dokumenter på plads, sikr dine leverandør-aftaler, og byg systemerne derfra. Du behøver ikke at blive juridisk ekspert — du behøver bare at vide, hvor skoen trykker, og hvor du skal få hjælp.

Har du spørgsmål specifikt til din virksomhed? LovBot er her for at hjælpe.

Denne artikel er informativ og bør ikke erstatte juridisk rådgivning. Ved vigtige juridiske spørgsmål, kontakt en advokat.