GDPRscanner

5. juli 2026

GDPR-tjekliste for små virksomheder — 10 punkter

Praktisk 10-punkts GDPR-tjekliste til danske SMB-virksomheder: fra privatlivspolitik og samtykke til databehandleraftaler og hjemmeside-tracking.

Et overblik, før du dykker ned i detaljerne

GDPR består af 99 artikler, snesevis af betragtninger og en stak vejledninger fra Datatilsynet. Som ejer af en lille virksomhed har du hverken tid eller grund til at læse det hele. Du har brug for at vide, hvor du skal kigge først, og hvad reglerne konkret forventer af dig på hvert område.

Derfor er en tjekliste et godt sted at starte. Ikke fordi ti punkter dækker alt, men fordi de fleste danske SMB'er finder deres største huller inden for præcis de samme områder: hjemmesiden, samtykkerne, aftalerne med leverandørerne og procedurerne, der mangler, indtil den dag der pludselig er brug for dem. Gå listen igennem én gang, notér hvor du er usikker, og prioritér derefter. Her er de ti punkter, det er værd at kigge på.

1. Kortlæg hvilke persondata I behandler

Alt starter med at vide, hvad I egentlig har. GDPR kalder det en fortegnelse over behandlingsaktiviteter (artikel 30), men lad ikke ordet skræmme dig. I praksis er det en simpel oversigt: hvilke personoplysninger håndterer virksomheden, hvorfor, hvor længe, og hvem har adgang.

Tag en times tid og skriv det ned. En typisk håndværksvirksomhed lander hurtigt på kundekartotek, tilbud og fakturaer, ansøgninger til ledige stillinger, en nyhedsbrevsliste og de logfiler, hjemmesiden genererer. Når du har listen, kender du omfanget, og resten af punkterne bliver konkrete i stedet for abstrakte. Uden overblikket ender du med at gætte, og gæt er svære at dokumentere, hvis Datatilsynet en dag spørger.

2. Privatlivspolitik der matcher virkeligheden

Din privatlivspolitik er den tekst, hvor du fortæller besøgende og kunder, hvad du gør med deres oplysninger. Artikel 13 lister, hvad den skal indeholde: hvem I er, hvilke data I behandler, med hvilket formål og retsgrundlag, hvor længe I gemmer, og hvilke rettigheder den enkelte har.

Den hyppigste fejl er ikke, at politikken mangler, men at den er kopieret fra en anden virksomhed og beskriver noget, I ikke laver. En politik, der lover, at "vi bruger ikke cookies", mens hjemmesiden fyrer tre tracking-scripts af, skaber mere risiko end ingen politik overhovedet. Læs din egen tekst igennem med listen fra punkt 1 ved siden af, og ret hvert sted, hvor ord og virkelighed ikke passer sammen. Vi går i dybden med strukturen i guiden til privatlivspolitik.

3. Cookies og tracking på hjemmesiden

Cookie-samtykke er et af de områder, hvor danske virksomheder oftest får kritik fra Datatilsynet. Reglerne kommer fra cookiebekendtgørelsen og ePrivacy sammen med GDPR, og de er strengere, end mange tror. Tracking- og marketing-scripts må først aktiveres, når den besøgende aktivt har sagt ja. Et banner, der sætter Google Analytics eller Meta Pixel i gang, allerede før nogen har klikket, er efter Datatilsynets praksis ikke tilstrækkeligt.

Tre ting er værd at teste med det samme. Kan man afvise lige så let, som man kan acceptere, og har afvis-knappen samme visuelle vægt? Ligger der scripts og kører før klikket? Og kan et samtykke trækkes tilbage lige så nemt, som det blev givet? Du kan få et hurtigt billede af, hvad din side faktisk indlæser, ved at køre en gratis GDPR-scan — den viser de tredjeparts-tjenester, der aktiveres, uden du skal grave i browserens udviklerværktøjer. Tjeklisten til cookie-bannere gennemgår de konkrete punkter mere detaljeret.

4. Samtykke til nyhedsbreve

Sender du nyhedsbreve eller anden markedsføring på mail, spiller to regelsæt sammen. Markedsføringsloven kræver et forudgående, aktivt samtykke, før du overhovedet må sende, og GDPR kræver, at du kan dokumentere, hvornår og hvordan samtykket blev givet.

I praksis betyder det, at forudkrydsede felter og "tilmeldt automatisk ved køb" ikke holder som selvstændigt grundlag for ren markedsføring. Modtageren skal have taget et aktivt valg, du skal gemme et spor af det, og hver mail skal indeholde en afmeldingsmulighed, der virker. Gennemgå din tilmeldingsformular og din udsendelsesplatform: kan du for en tilfældig abonnent vise, hvornår og hvordan personen sagde ja? Kan du det ikke, er det dér, arbejdet ligger.

5. Databehandleraftaler med leverandører

Hver gang en ekstern leverandør behandler personoplysninger på dine vegne, kræver artikel 28 en skriftlig databehandleraftale. Det gælder langt flere end de fleste tror: mailudbyderen, hosting-leverandøren, bogføringssystemet, nyhedsbrevsværktøjet og bureauet, der passer din hjemmeside. De fleste SMB'er har mellem otte og femten af den slags relationer uden at have samlet aftalerne ét sted.

Den gode nyhed er, at seriøse EU-leverandører har aftalen liggende klar, ofte som en PDF i kundepanelet eller til underskrift med et par klik. Opgaven er sjældent at forhandle en aftale, men at få dem hentet hjem, arkiveret og holdt opdateret. Vi har skrevet en selvstændig gennemgang af, hvornår du har brug for en, hvad den skal indeholde, og hvor du finder Datatilsynets skabelon, i guiden til databehandleraftaler.

6. Formularer og oplysningspligt

Kontaktformularer, tilbudsformularer og booking-felter er små datasamlere, der ofte bliver glemt. I det øjeblik en besøgende taster navn, mail eller telefonnummer ind, indsamler du personoplysninger, og oplysningspligten i artikel 13 gælder.

Konkret betyder det, at der ved formularen skal være en kort, klar besked om, hvad oplysningerne bruges til, hvor længe de gemmes, og et link til privatlivspolitikken. En enkelt sætning under felterne med et link er nok — det behøver ikke fylde. Gå dine formularer igennem én for én og tjek, at beskeden er der, og at den passer med, hvad der faktisk sker med henvendelsen bagefter.

7. Opbevaring og sletning

Personoplysninger må ikke gemmes længere, end formålet kræver. Det lyder enkelt, men "længere end nødvendigt" er en vurdering, du selv skal foretage og kunne begrunde. Nogle perioder er givet på forhånd: bogføringsmateriale skal efter bogføringsloven opbevares i fem år plus indeværende år, og det er et legitimt grundlag for at gemme fakturaer så længe.

For alt det andet må du sætte en ramme. Hvor længe gemmer I henvendelser fra kontaktformularen, ansøgninger fra folk I ikke ansatte, eller stamdata på kunder, der ikke har handlet i årevis? Skriv perioderne ned, og lige så vigtigt: sørg for, at der rent faktisk sker en sletning, når tiden er gået. En slettepolitik, ingen følger, er blandt de første ting, Datatilsynet i praksis peger på ved et tilsyn.

8. De registreredes rettigheder — hav en proces

Kunder, abonnenter og besøgende har en række rettigheder, blandt andet ret til indsigt, til sletning og til at få rettet forkerte oplysninger (artiklerne 15 til 22). Du skal som udgangspunkt svare inden for en måned, når nogen bruger en af dem.

Det afgørende er ikke, at du kan alle artikelnumre udenad, men at du har en aftalt måde at håndtere en henvendelse på. Hvem åbner mailen, hvor finder I oplysningerne, og hvem skriver svaret? Uden en proces risikerer en indsigtsanmodning at ligge og samle støv i en fælles indbakke, indtil fristen er overskredet. Aftal en simpel arbejdsgang på forhånd, så I ikke skal improvisere den dag, henvendelsen kommer.

9. Sikkerhed: HTTPS, adgangsstyring og opdateringer

Artikel 32 kræver passende sikkerhed, og for en lille virksomhed handler det sjældent om avanceret teknik. Det handler om at få det grundlæggende på plads. Kører hjemmesiden på HTTPS, så data ikke sendes i klartekst? Har hver medarbejder sit eget login i stedet for et fælles, der cirkulerer på en post-it? Bliver systemer, plugins og enheder holdt opdaterede?

Adgangsstyring er ofte det svageste led. Når en medarbejder stopper, bør adgangene lukkes samme dag, og delte logins gør det svært at se, hvem der har været inde i hvad. To-faktor-login på de vigtigste systemer, en enkel oversigt over hvem der har adgang hvor, og en fast rutine for opdateringer dækker en stor del af det, reglerne forventer af en virksomhed på din størrelse.

10. Brud-beredskab — 72-timers-reglen

Går noget galt, og personoplysninger kommer på afveje, kræver artikel 33, at et brud med risiko for de berørte anmeldes til Datatilsynet senest 72 timer efter, I er blevet bekendt med det. De 72 timer tæller fra det øjeblik, I opdager bruddet, ikke fra det sker, og fristen er kort, når man først står i situationen.

Derfor betaler det sig at have en simpel plan klar i forvejen. Hvem gør hvad, hvis en laptop bliver stjålet, en mail med personoplysninger sendes til den forkerte, eller et system bliver hacket? En kort huskeliste er nok: stop adgangen, skriv ned hvad der skete og hvem der er berørt, vurdér risikoen, og anmeld via virk.dk, hvis risikoen ikke er ubetydelig. Planen fylder én side, men den ene side er guld værd, når uret tikker.

Start med det, der er synligt udefra

Ti punkter kan virke uoverskuelige på én gang, så vælg et sted at begynde. Vores anbefaling er at starte med hjemmesiden. Den er det lag, alle kan se — også en utilfreds kunde eller en nysgerrig konkurrent — og det er dér, cookie-bannere, formularer og privatlivspolitik enten hænger sammen eller ikke gør. Får du styr på det synlige lag først, har du både lukket de mest oplagte huller og skabt momentum til resten af listen.

Den hurtigste måde at få en baseline på er at køre en gratis GDPR-scan. Den gennemgår din hjemmeside og dine offentligt tilgængelige dokumenter på et par minutter og giver dig en konkret liste over, hvad der bør ses nærmere på. Så ved du, hvor på de ti punkter du står i dag, og hvad der er værd at tage fat på først.