GDPR-compliance for din virksomhed: konkret tjekliste og de 7 vigtigste dokumenter

GDPR er ikke kun for store virksomheder

Det er en sejlivet myte: "Vi er for små til at GDPR gælder for os." Det er forkert. GDPR gælder for alle virksomheder, organisationer og selvstændige, der behandler personoplysninger om EU-borgere — uanset størrelse.

Behandler du kundedata? Har du medarbejdere? Bruger du et CRM-system, et nyhedsbrev eller cloudlager med personoplysninger? Så er GDPR relevant for dig.

Den gode nyhed: compliance kræver ikke et team af jurister. Med de rette dokumenter og en grundlæggende forståelse af reglerne kan selv en soloselvstændig blive compliant på en dag.

Hvad sker der, hvis du ikke er compliant?

Datatilsynet kan udstede bøder på op til 20 millioner euro eller 4% af global omsætning — det er EU's maximum. For SMV'er og selvstændige er bøderne typisk langt lavere, men de kan stadig gøre ondt:

• Bøder på 10.000–500.000 kr. for SMV'er er ikke ualmindelige
• Påbud om at ophøre med visse behandlinger (kan lamme din forretning)
• Skade på omdømme — kunder og samarbejdspartnere reagerer

I 2024 og 2025 fokuserede Datatilsynet særligt på:

• Manglende databehandleraftaler
• Ulovlig videregivelse af personoplysninger
• Manglende sletterutiner

De 7 vigtigste GDPR-dokumenter for SMV'er

1. Fortegnelse over behandlingsaktiviteter

Du skal have et overblik over, hvilke personoplysninger du behandler, til hvilke formål, og hvem der har adgang til dem. Dette er din "GDPR-journal" — den behøver ikke være lang, men den skal eksistere.

Hvad skal den indeholde?

• Kategorier af registrerede (kunder, medarbejdere, leverandører)
• Typer af oplysninger (navn, e-mail, CPR-nummer, etc.)
• Formål med behandlingen
• Hvem oplysningerne evt. deles med
• Slettefrister

2. Databehandleraftale

Dette er det vigtigste enkeltdokument for de fleste SMV'er.

En databehandleraftale skal indgås med alle leverandører, der behandler personoplysninger på dine vegne. Det inkluderer:

• Regnskabsprogram (f.eks. Dinero, Billy, e-conomic)
• Lønsystem
• CRM-system (HubSpot, Pipedrive, etc.)
• E-mail marketing (Mailchimp, Klaviyo, etc.)
• Cloudlager (Google Drive, Dropbox, Microsoft 365)
• Webbookings-systemer
• Telefonservice med optagelse

Har du ikke disse aftaler på plads, er du per definition ikke-compliant. Se vores komplette [guide til databehandleraftaler](/blog/gdpr-databehandleraftale-guide).

3. Privatlivspolitik (Privacy Policy)

Har du en hjemmeside, der indsamler oplysninger (kontaktformular, nyhedsbrev, cookies), skal du have en privatlivspolitik. Den skal forklare:

• Hvilke oplysninger du indsamler
• Hvad du bruger dem til
• Hvem du deler dem med
• Hvor længe du opbevarer dem
• Hvilke rettigheder de registrerede har

4. Cookiepolitik og samtykke

Bruger din hjemmeside cookies til tracking, analytics eller markedsføring? Du skal have:

• En cookiepolitik, der forklarer hvilke cookies du bruger
• Et samtykkebanner, der indhenter aktiv accept (ikke bare "ved at bruge siden accepterer du")

Bemærk: Cookiesamtykke skal være opt-in — ikke opt-out.

5. Samtykketekster og sign-up flows

Tilmelder brugere sig dit nyhedsbrev eller andet marketing? Samtykket skal:

• Være frivilligt og specifikt
• Indhentes med en klar handling (check-box, ikke pre-tjekket)
• Gemmes med tidsstempel

6. Sikkerhedspolitik (internt)

Du behøver ikke en 50-siders IT-sikkerhedspolitik. Men du skal kunne dokumentere, at du håndterer oplysninger sikkert. En simpel intern note er tilstrækkelig for de fleste SMV'er:

• Adgangskodepolitik
• Hvem har adgang til hvilke systemer
• Procedure ved sikkerhedsbrud (hvad gør du, hvem kontakter du)

7. Brud-procedure (databrudspolitik)

Hvis personoplysninger lækkes — uanset om det er en hacket e-mail, en bortkommen USB-nøgle eller forkert afsendelse — skal du anmelde det til Datatilsynet inden for 72 timer, hvis bruddet udgør en risiko for de registrerede.

Du behøver en intern procedure for:

1. Hvad tæller som et databrud?

2. Hvem skal beslutte, om det anmeldes?

3. Hvem anmelder til Datatilsynet?

GDPR-tjekliste: Er du compliant?

Brug denne tjekliste til at identificere huller i din GDPR-compliance:

Grundlag for behandling:

• [ ] Har du et gyldigt grundlag for hvert formål (samtykke, kontrakt, legitimate interesse)?
• [ ] Er grundlaget dokumenteret?

Databehandleraftaler:

• [ ] Har du indgået databehandleraftaler med alle relevante leverandører?
• [ ] Er aftalerne underskrevne og opdaterede?

Information til registrerede:

• [ ] Har du en privatlivspolitik på din hjemmeside?
• [ ] Informerer du kunder om, hvad du gør med deres data?

Samtykke:

• [ ] Er samtykker til markedsføring indhentede korrekt?
• [ ] Har du gemt samtykkedokumentation?

Sletning:

• [ ] Har du en politik for, hvor lang tid du opbevarer personoplysninger?
• [ ] Sletter du faktisk data, der ikke længere er relevant?

Cookies:

• [ ] Har du et GDPR-compliant cookie-samtykke på din hjemmeside?
• [ ] Er din cookiepolitik opdateret?

Sikkerhed:

• [ ] Er adgange til systemer med persondata korrekt administrerede?
• [ ] Har du en procedure for sikkerhedsbrud?

Fortegnelse:

• [ ] Har du en fortegnelse over behandlingsaktiviteter?

Fem typiske GDPR-fejl i SMV'er

1. Ingen databehandleraftale med regnskabsprogrammet

Dinero, Billy og e-conomic behandler personoplysninger på dine vegne. Uden en databehandleraftale er du ikke-compliant — selvom udbyderen selv er GDPR-compliant.

De fleste software-udbydere tilbyder standardiserede databehandleraftaler på deres hjemmeside. Find dem, underskriv dem, og gem dem.

2. "Samtykke" via pre-tjekket checkbox

Et samtykke er kun gyldigt, hvis det er aktivt afgivet. En pre-tjekket checkbox til nyhedsbrev er ugyldigt samtykke. Det er en af de hyppigste fejl og let at rette.

3. Slettefrister eksisterer kun på papiret

Mange virksomheder skriver i privatlivspolitikken, at data slettes efter 3 år — men gør det ikke i praksis. Datatilsynet ser på den faktiske adfærd, ikke kun hvad der står i politikken.

4. Behandling af CPR-numre uden hjemmel

CPR-numre er særligt beskyttede i dansk ret og kræver et specifikt behandlingsgrundlag. Brug dem kun, når det er nødvendigt (f.eks. til ansættelse, SKAT, pension).

5. Manglende notifikation ved brud

Mange virksomheder anmelder ikke databrud til Datatilsynet, enten fordi de ikke ved, de skal, eller fordi de frygter konsekvenserne. Manglende anmeldelse er typisk et selvstændigt overtrædelsesgrundlag.

GDPR og medarbejdere

Ansætter du medarbejdere, behandler du personoplysninger om dem — lønoplysninger, sygefravær, evaluationer, kontaktoplysninger. Det kræver:

• At medarbejderne informeres om behandlingen (typisk i ansættelseskontrakten eller en separat privatlivspolitik for ansatte)
• At du gemmer oplysningerne sikkert og kun så længe, det er nødvendigt
• At du har grundlag for særligt følsomme oplysninger (f.eks. helbredsoplysninger ved sygdom)

Inkludér GDPR-information i din [ansættelseskontrakt](/blog/ansaettelseskontrakt-guide) eller som bilag.

Hvornår skal du have en DPO (databeskyttelsesrådgiver)?

En DPO (Data Protection Officer) er kun obligatorisk for visse typer virksomheder:

• Offentlige myndigheder
• Virksomheder, der som kerneaktivitet foretager systematisk overvågning i stor skala
• Virksomheder, der behandler særligt følsomme kategorier af data i stor skala

De fleste SMV'er behøver ikke en DPO. Men overvej at bruge en ekstern GDPR-konsulent til en initial gennemgang, hvis du er usikker.

Opret din databehandleraftale med LegalDock

LegalDock tilbyder en juridisk korrekt databehandleraftale-skabelon, der opfylder GDPR's krav til artikel 28-aftaler. Skabelonen er opdateret med de seneste krav og kan bruges til aftaler med dine systemleverandører eller underleverandører.

---

Skal du have styr på dine databehandleraftaler? [Opret din databehandleraftale på LegalDock](/templates/databehandleraftale) på under 10 minutter — juridisk korrekt og opdateret med GDPR-lovgivningen.