LegalDock
ForsideGuidesDigital bogføring og IT-sikkerhed: Krav og løsninger for SMV'er
Virksomhed9 min læsetid

Digital bogføring og IT-sikkerhed: Krav og løsninger for SMV'er

Guide til digital bogføring og IT-sikkerhed for SMV'er: lovkrav, GDPR, cloud-løsninger og de juridiske dokumenter der sikrer din virksomheds compliance.

LegalDock Redaktionen
29. maj 2026

Digital bogføring er ikke længere valgfrit

Fra 2024 stiller den nye bogføringslov krav om, at virksomheder med årsregnskabspligt (klasse B og op) skal benytte et godkendt digitalt bogføringssystem. For mange SMV'er er skiftet til digital bogføring allerede sket — men det rejser nye spørgsmål om IT-sikkerhed, GDPR og de juridiske aftaler, der understøtter digital datahåndtering.

Denne guide giver dig overblik over:

  • Hvad kravene til digital bogføring indebærer
  • Hvilke IT-sikkerhedsrisici SMV'er bør forholde sig til
  • Hvilke juridiske dokumenter der er nødvendige, når du bogfører i skyen

---

Hvad kræver bogføringsloven om digitale systemer?

Den nye bogføringslov (ikrafttræden 2024) stiller krav om, at godkendte bogføringssystemer skal leve op til en række tekniske standarder. Erhvervsstyrelsen godkender systemer, der opfylder kravene.

Krav til det digitale bogføringssystem

Et godkendt system skal:

  • Registrere transaktioner kronologisk og i overensstemmelse med god regnskabsskik
  • Understøtte dobbelt bogføring (debet/kredit)
  • Sikre automatisk backup — data må ikke gå tabt
  • Beskytte mod manipulation — det skal ikke være muligt at slette eller ændre bogføringsposter, uden at ændringen er synlig
  • Understøtte eksport i SAF-T format (Standard Audit File for Tax) — et standardiseret XML-format, der giver SKAT og revisorer mulighed for at gennemse data
  • Opbevare data i mindst 5 år

Populære systemer, der lever op til kravene: e-conomic, Billy, Dinero, Uniconta, Microsoft Dynamics 365, SAP Business One.

Hvad hvis du ikke bruger et godkendt system?

Mangler dit system godkendelse, risikerer du:

  • Bøde for overtrædelse af bogføringsloven
  • At SKAT kan tilsidesætte dit regnskab og skønsligne
  • At revisor ikke kan afgive en ren erklæring

---

Cloud bogføring og GDPR — et undervurderet overlap

Langt de fleste moderne bogføringssystemer er cloud-baserede. Det betyder, at dine data — herunder personoplysninger om kunder, leverandører og ansatte — opbevares hos en tredjepart.

Det er lovligt og fornuftigt, men det kræver den rette juridiske aftale.

Databehandleraftale — lovpligtig ved cloud bogføring

Når din bogføringsudbyder behandler personoplysninger på dine vegne (fakturaer med kundenavne, lønsedler med CPR-numre), er de din databehandler i GDPR-forstand.

Det kræver en underskrevet [databehandleraftale](/skabeloner/data-processing-agreement).

En databehandleraftale skal ifølge GDPR artikel 28 indeholde:

  • Beskrivelse af behandlingens formål og karakter
  • Instruktioner til databehandleren
  • Krav om fortrolighed
  • Sikkerhedsforanstaltninger
  • Regler for underdatabehandlere (fx er din cloud-udbyder afhængig af AWS eller Azure?)
  • Hvad der sker med data ved kontraktophør

Mange bogføringssystemer inkluderer en databehandleraftale i standardvilkårene — men du bør sikre dig, at du faktisk har accepteret den, og at den lever op til GDPR's krav.

Læs vores [guide til databehandleraftaler](/blog/gdpr-databehandleraftale-guide) og vores [GDPR-guide til SMV'er](/blog/gdpr-smaavirksomheder).

---

IT-sikkerhedsrisici for SMV'er

Den vigtigste risiko: menneskelige fejl

De fleste IT-sikkerhedshændelser i SMV'er skyldes ikke sofistikerede hackerangreb — de skyldes menneskelige fejl:

  • Klik på phishing-mails
  • Svage adgangskoder
  • Manglende adgangskontrol (eks-medarbejdere med adgang til systemerne)
  • Manglende backup-rutiner

Ransomware — en voksende trussel

Ransomware-angreb, hvor kriminelle krypterer dine data og kræver løsepenge, rammer i stigende grad SMV'er. Angrebene udnytter svage adgangskoder, ikke-opdateret software og manglende backup.

Konsekvenserne for en SMV:

  • Tab af adgang til bogføring og kundedata
  • GDPR-brud, der skal indberettes til Datatilsynet inden 72 timer
  • Driftstab i dage eller uger

Sociale angreb og CEO-fraud

Kriminelle udgiver sig for at være direktøren eller revisoren og beder bogholderen om at overføre penge. Angrebene er målrettede og overbevisende.

Løsning: Klare interne procedurer for godkendelse af betalinger og to-faktor autentificering på alle systemer.

---

IT-servicekontrakt — hvornår er den nødvendig?

Bruger du en ekstern IT-leverandør til at administrere dine systemer — hvad enten det er et regneskabssystem, din server, din backup-løsning eller din e-mail? Så bør du have en [IT-servicekontrakt](/skabeloner/it-service-contract).

En IT-servicekontrakt bør indeholde:

  • Scope: Hvilke systemer og opgaver er inkluderet?
  • SLA (Service Level Agreement): Hvad er svartiden ved nedbrud? Hvad er garanteret oppetid?
  • Sikkerhedskrav: Krav til kryptering, adgangsstyring og backup
  • Ansvarsfordeling: Hvem er ansvarlig, hvis data mistes?
  • GDPR: Er leverandøren en databehandler? Kræves der en databehandleraftale (og det gør der typisk)?
  • Opsigelsesvilkår: Hvad sker der med data ved kontraktophør? Kan du eksportere dem?

Læs vores [guide til IT-servicekontrakter](/blog/it-servicekontrakt-guide).

---

Privatlivspolitik — ikke kun for webshops

Har din virksomhed en hjemmeside, der indsamler data (kontaktformularer, nyhedsbrev, cookies)? Så er du forpligtet til at have en privatlivspolitik, der informerer besøgende om, hvordan data bruges.

En [privatlivspolitik](/skabeloner/privacy-policy) (eller persondatapolitik) bør:

  • Beskrive, hvilke data der indsamles
  • Forklare formålet med behandlingen
  • Angive, hvem der er dataansvarlig
  • Informere om rettigheder (indsigt, sletning, klage til Datatilsynet)
  • Liste eventuelle tredjeparter, data deles med

Cookie-samtykke er et separat krav — en cookiebanner kan ikke erstatte en privatlivspolitik.

Læs mere i vores [guide til persondatapolitik](/blog/persondatapolitik-hjemmeside-guide).

---

Praktisk IT-sikkerhedstjekliste for SMV'er

Brug denne tjekliste til at vurdere din virksomheds IT-sikkerhed:

Bogføring og data:

  • [ ] Bruger du et godkendt digitalt bogføringssystem (jf. bogføringsloven)?
  • [ ] Er der underskrevet databehandleraftale med din bogføringsudbyder?
  • [ ] Opbevares data i mindst 5 år?
  • [ ] Er backup testet (ikke bare opsat, men faktisk afprøvet)?

Adgangskontrol:

  • [ ] Bruger alle medarbejdere stærke, unikke adgangskoder?
  • [ ] Er der to-faktor autentificering (2FA) på kritiske systemer?
  • [ ] Er eks-medarbejderes adgang fjernet fra alle systemer?
  • [ ] Er der begrænsede adgangsrettigheder (folk ser kun det, de skal)?

Kontrakter og aftaler:

  • [ ] IT-servicekontrakt med ekstern IT-leverandør?
  • [ ] Databehandleraftaler med alle leverandører, der behandler persondata?
  • [ ] Privatlivspolitik på hjemmesiden?
  • [ ] Cookiepolitik og samtykke?

Beredskab:

  • [ ] Er der en plan for, hvad I gør ved et databrud?
  • [ ] Ved alle relevante medarbejdere, at databrud skal indberettes til Datatilsynet inden 72 timer?

---

GDPR og bogføring — fire konkrete krav

For at overholde GDPR i din bogføring skal du:

1. Have et behandlingsgrundlag — f.eks. kontraktforpligtelse (faktura til kunde), retlig forpligtelse (lønseddel) eller berettiget interesse

2. Have databehandleraftaler med alle tredjepart-systemer, der behandler persondata

3. Implementere passende sikkerhedsforanstaltninger — kryptering, adgangsbegrænsning, backup

4. Slette data, der ikke længere er nødvendige — men husk, at bogføringsbilag skal gemmes i mindst 5 år

---

Backup-strategier: 3-2-1-reglen forklaret

En backup, du ikke har testet, er ikke en backup — det er en forhåbning. For SMV'er er der en enkel tommelfingerregel: 3-2-1-reglen.

  • 3 kopier af dine data
  • 2 forskellige lagringsmedier (fx din server + ekstern harddisk)
  • 1 offsite kopi — dvs. en kopi, der er fysisk adskilt fra din virksomhed (fx cloud-storage eller sikkerhedsboks hos en anden adresse)

For cloud-baserede bogføringssystemer som e-conomic eller Billy er backup typisk håndteret af leverandøren som del af aftalen. Men tjek:

  • Er backup inkluderet i dit abonnement, eller er det en tilkøbsydelse?
  • Hvad er leverandørens RTO (Recovery Time Objective — tid til at gendanne data) og RPO (Recovery Point Objective — hvor gamle er data ved gendannelse)?
  • Kan du selv eksportere dine data i et standardformat (SAF-T) til egne formål?

Husk at teste backup mindst én gang om året ved faktisk at gendanne data i et testmiljø.

---

NIS2-direktivet og SMV'er: Hvad skal du vide?

NIS2-direktivet (Network and Information Security 2) er et EU-direktiv, der skærper kravene til cybersikkerhed og risikostyring for en lang række sektorer og virksomheder. Direktivet er implementeret i Danmark fra 2024.

Hvem er direkte berørt? NIS2 gælder primært for virksomheder i kritiske sektorer (energi, transport, sundhed, digital infrastruktur) og for mellemstore og store virksomheder i disse sektorer. De fleste typiske SMV'er er ikke direkte underlagt NIS2.

Men som underleverandør: Hvis du leverer IT-ydelser, databehandling eller andre ydelser til virksomheder, der er NIS2-underlagte, kan du opleve, at dine kunder stiller krav til din IT-sikkerhed som del af deres forpligtelser. Det kan inkludere krav om:

  • Skriftlige IT-sikkerhedspolitikker
  • Dokumenterede backup- og katastrofegenopretningsprocedurer
  • Adgangsstyring og to-faktor autentificering
  • Incidentrapportering

Kontakt en IT-sikkerhedsrådgiver, hvis du er usikker på, om NIS2 berører dig eller dine kunder.

---

Mobilbetaling og kasseapparater — særlige krav

Bruger din virksomhed kasseapparat, mobilbetaling (MobilePay, Dankort, Nets) eller point-of-sale systemer? Der gælder særlige krav:

Kassesystem-krav: SKAT stiller krav til elektroniske kassesystemer for visse brancher (detailhandel, restauranter, frisører m.fl.). Kravene handler om, at kassesystemet ikke må kunne slette eller ændre gennemførte transaktioner. Systemer, der ikke opfylder kravene, kan medføre bøder og skattemæssig skønsligning.

Mobilbetaling og GDPR: Betaling via MobilePay, Stripe, QuickPay eller lignende kræver, at du som dataansvarlig sikrer, at transaktionsdata behandles korrekt. Er du databehandler for din platform? Kræver din platform en databehandleraftale? Tjek vilkårene hos din betalingsgateway.

Bogføring af digitale betalinger: Sørg for, at din bogføringsintegration med betalingsplatformen er korrekt sat op. Manglende afstemning mellem kasse og bogføring er et hyppigt revisionsfund.

---

De tre vigtigste juridiske dokumenter

Tre dokumenter er grundpillen i IT-sikkerhed og digital bogføring for SMV'er:

1. [Databehandleraftale](/skabeloner/data-processing-agreement) — med alle cloud-leverandører, der behandler persondata

2. [IT-servicekontrakt](/skabeloner/it-service-contract) — med din IT-leverandør

3. [Privatlivspolitik](/skabeloner/privacy-policy) — på din hjemmeside

Alle tre kan du oprette og downloade via LegalDock på minutter — juridisk verificeret og opdateret med gældende dansk og EU-ret.

---

Denne artikel er informativ og udgør ikke juridisk rådgivning eller IT-sikkerhedsrådgivning. Kontakt en specialist for vejledning til din specifikke situation.

Få mere juridisk viden

Tilmeld dig vores nyhedsbrev og bliv klogere på dansk jura.

Relaterede guides

Virksomhed9 min

Beskyt din virksomhed: 5 kontrakter enhver virksomhedsejer bør have

Virksomhed kontrakter guide: De 5 vigtigste aftaler, der beskytter din SMB mod tvister, tab og juridiske problemer — med praktiske eksempler og skabeloner.

Virksomhed13 min

GDPR for små virksomheder: Praktisk compliance guide

Praktisk GDPR-guide til små danske virksomheder. Forstå dine forpligtelser, undgå de mest almindelige fejl, og få styr på databehandleraftaler — uden juridisk jargon.

Familie12 min

Skilsmisse og bodelingsaftale: Trin-for-trin guide

Skal du igennem en skilsmisse og bodeling? Få en trin-for-trin guide til bodelingsaftalen — hvad den dækker, hvornår du har brug for en, og hvordan du selv udarbejder den.

Gratis at starte

Opret dit dokument nu

Professionelle skabeloner. Digital underskrift. Færdigt på minutter.

Digital bogføring og IT-sikkerhed: Krav og løsninger for SMV'er | LegalDock