23. april 2026
GDPR for små virksomheder 2026 — komplet guide
Praktisk guide til GDPR-compliance for danske SMB-virksomheder. De 7 vigtigste krav du skal kende og bøderne du skal undgå i 2026.
Otte år efter GDPR — og stadig en konkret risiko
Otte år efter forordningen trådte i kraft, er GDPR blevet dagligdag for de store danske selskaber, men for de fleste SMB'er lever reglerne som en uklar frygt i baghovedet. Du har nok en privatlivspolitik fra dengang virksomheden startede, et cookie-banner du kopierede fra en konkurrent, og en fornemmelse af, at der er noget, du ikke helt har styr på. Måske har du undgået at grave i det, fordi en hurtig google-søgning altid ender med artikler om bøder på 20 millioner euro, advokat-opslag og teksttunge vejledninger fra Datatilsynet. Det er præcis dén situation, Datatilsynet selv ser igen og igen i deres tilsynssager — virksomheder, der ikke har været ligeglade, men som simpelthen ikke vidste, hvor de skulle begynde. Formålet med denne guide er at give dig et handlingsorienteret overblik: hvad Datatilsynet faktisk kigger efter i 2026, hvad det realistisk koster dig at rette op, og hvilke 7 områder du som SMB-ejer bør have kortlagt, før en klage eller et tilsynsbesøg tvinger dig til det i hastværk.
Datatilsynets top-5 bøde-årsager
Datatilsynets offentliggjorte afgørelser i 2024 og 2025 viser et tydeligt mønster. Omkring 36 % af sagerne handler om cookie-samtykke, mens kontaktformularer og privatlivspolitik tilsammen udgør næsten halvdelen af den resterende bunke. Det er altså ikke de eksotiske overtrædelser, der koster — det er de basale fundamentale fejl i dit setup.
| Årsag | Andel | Typisk eksempel |
|---|---|---|
| Cookie-samtykke | ~36 % | Tracking-scripts fyres før besøgende klikker "Accepter" |
| Kontaktformularer | ~22 % | Ingen oplysning om formål og retention ved indtastning |
| Privatlivspolitik | ~18 % | Udløben tekst, copy-paste fra konkurrent, mangler retention |
| Databehandleraftaler | ~14 % | Ingen DPA med hosting, CRM eller e-mail-leverandør |
| Øvrigt | ~10 % | Manglende svar på indsigtsanmodninger, sletning, dataindbrud |
Bødeniveauet i danske SMB-sager ligger typisk mellem 10.000 og 500.000 kr., men selve omkostningen ved en sag — tid, advokatbistand, omdømme — er ofte mere belastende end bøden selv.
Vigtigt
Den teoretiske bødegrænse i GDPR er 20 mio. EUR eller 4 % af global omsætning. I praksis rammer danske SMB-bøder sjældent seks-cifrede beløb, men selv en indstilling til politiet eller en offentliggjort afgørelse kan koste kunder og partnerskaber. Det er reelt omdømmet — ikke bødens størrelse — der gør hul i bundlinjen.
De 7 krav du som SMB skal kende
Det følgende er ikke en juridisk udtømmende liste, men det er de 7 områder, hvor 9 ud af 10 danske SMB'er har noget at rette op på, når vi kører en GDPR-scan.
1. Retsgrundlag — hvorfor må du overhovedet behandle data?
GDPR artikel 6 opstiller seks mulige retsgrundlag, og du skal kunne pege på ét for hver behandling:
- Samtykke — den besøgende har aktivt klikket "ja"
- Kontrakt — du skal bruge dataen for at levere det aftalte
- Retlig forpligtelse — f.eks. bogføringslovens 5-årsregel
- Vital interesse — liv og helbred (sjældent relevant for SMB)
- Samfundsopgave — myndighedsudøvelse (ikke-relevant for private)
- Legitim interesse — en afvejning af dit behov mod den registreredes rettigheder
For en webshop er kombinationen typisk: kontrakt (ordrehåndtering), retlig forpligtelse (bogføring), samtykke (nyhedsbrev og marketing-cookies) og legitim interesse (svindelbekæmpelse, basic analytics). Problemet opstår, når du antager, at samtykke dækker det hele — det gør det ikke, og samtykke er samtidig det skrøbeligste grundlag, fordi det kan trækkes tilbage når som helst.
2. Privatlivspolitik
Din privatlivspolitik er ikke et pynt-dokument — det er din dokumentation over for Datatilsynet for, at du har tænkt behandlingen igennem. GDPR artikel 13 angiver præcis hvilke punkter, den skal indeholde, og et typisk problem er, at politikken er kopieret fra en konkurrent, der leverer andre tjenester end dig. Vi går dybere i strukturen og faldgruberne i vores guide til webshop-privatlivspolitik.
3. Cookie-banner
Cookie-banneret er SMB'ens hyppigste overtrædelse. Reject-knappen skal have samme visuelle vægt som accept-knappen, tracking-scripts må ikke fyres før klik, og samtykket skal kunne trækkes tilbage lige så let, som det blev givet. Vores tjekliste til cookie-bannere gennemgår de 7 konkrete punkter, du kan teste dit banner imod på 15 minutter.
Tip
Cookie-banner er en af de hurtigste "quick wins" i compliance-arbejdet. Hvis du bruger Cookiebot eller Klaro!, er 80 % af opgaven løst ved en korrekt konfiguration — du skal bare sikre, at dine Google Tag Manager-scripts faktisk lytter på consent-state, før de fyrer. Det er typisk en 2-timers opgave for en udvikler.
4. Databehandleraftaler
Hver gang en tredjepart behandler personoplysninger på dine vegne, skal I have en databehandleraftale (DPA). De fleste SMB'er har 8-15 relevante tredjeparter uden at vide det:
- Hosting (One.com, Simply, Hetzner, Vercel)
- CRM (Pipedrive, HubSpot, Monday)
- E-mail-marketing (Mailchimp, HeyLoyalty, ActiveCampaign)
- Regnskab (Dinero, Billy, e-conomic)
- Analytics (hvis andet end Vercel Analytics)
- Kundeservice-værktøjer (Intercom, Zendesk)
- Ordremodtagelse (Typeform, Tally)
For de fleste danske leverandører ligger DPA'en tilgængelig som PDF i kundepanelet — du skal bare hente og arkivere den. Udenlandske leverandører kræver ekstra opmærksomhed på tredjelandsoverførsler (Schrems II).
5. Retention-politikker
Du må ikke opbevare data længere end nødvendigt, men "nødvendigt" afhænger af formålet. En realistisk retention-tabel for en SMB ser sådan her ud:
| Datatype | Retention | Begrundelse |
|---|---|---|
| Ordrer + fakturaer | 5 år | Bogføringslovens § 10 |
| Stamdata (aktive kunder) | Aktiv + 3 år | Kontraktforhold, reklamation |
| Nyhedsbrev-abonnenter | Indtil afmeldelse | Samtykke-baseret |
| Kontaktformular-henvendelser | 6 måneder | Legitim interesse, opfølgning |
| Server-logs | 30 dage | Sikkerhed, fejlfinding |
| Ansøgninger (uopfordrede) | 6 måneder | Rekrutteringsformål |
Mangler du retention-perioder, er det typisk det første Datatilsynet peger på ved en kontrol. De behøver ikke være perfekte — de skal bare være dokumenteret og følges i praksis.
6. Rettigheder til de registrerede
Dine kunder, besøgende og nyhedsbrev-abonnenter har 8 rettigheder under GDPR. I praksis modtager du typisk tre typer henvendelser:
- Indsigt (art. 15) — "hvad har I om mig?" Svar inden 30 dage med en struktureret oversigt.
- Sletning (art. 17) — "slet mig". Kan afvises hvis du har et andet retsgrundlag (f.eks. bogføring), men du skal kunne forklare hvorfor.
- Dataportabilitet (art. 20) — "giv mig mine data i et maskinlæsbart format". Gælder for data, den registrerede selv har afgivet.
Har du ikke en procedure for disse, risikerer du at overskride 30-dages-fristen — og det er en selvstændig overtrædelse.
7. Dataindbrud — 72-timers-reglen
Hvis personoplysninger kompromitteres, har du 72 timer til at anmelde det til Datatilsynet. En simpel 5-trins runbook:
- Stop blødningen — luk adgangen, skift adgangskoder, isolér systemet.
- Dokumentér — hvad skete der, hvornår, hvilke data, hvor mange personer.
- Vurdér risiko — er der reel risiko for de berørte? (identitetstyveri, økonomisk tab, krænkelse)
- Anmeld til Datatilsynet via virk.dk hvis risikoen ikke er ubetydelig.
- Informér de berørte personer hvis risikoen er høj.
Det er 72 timer fra du bliver bekendt med indbruddet — ikke fra det sker. Derfor betaler det sig at have runbook'en på plads i forvejen.
Bemærk
Datatilsynet er en praktisk ressource — ikke kun et tilsynsorgan. Deres vejledninger på datatilsynet.dk er skrevet i et pragmatisk sprog, og deres afgørelser er offentligt tilgængelige og ofte lærerige. Hvis du er i tvivl om en konkret situation, kan du også skrive til deres vejledningsenhed. De svarer ikke med bindende udtalelser, men de retter dig på ret kurs.
Realistisk omkostning — tid og penge
Lad os være ærlige om, hvad det koster at komme i mål. En SMB uden tidligere struktureret GDPR-arbejde bruger typisk 20-40 arbejdstimer på den indledende kortlægning og dokumentation. Tiden fordeler sig groft:
| Opgave | Tidsforbrug |
|---|---|
| Fortegnelse over behandlingsaktiviteter (art. 30) | 4-8 timer |
| Opdateret privatlivspolitik | 4-6 timer |
| Cookie-banner-konfiguration og test | 2-4 timer |
| DPA-indsamling fra alle tredjeparter | 3-6 timer |
| Retention-politik og slette-rutiner | 2-4 timer |
| Procedurer for rettighedsanmodninger | 2-3 timer |
| Dataindbruds-runbook | 2-3 timer |
| Intern træning af medarbejdere | 1-6 timer |
Tager du en konsulent ind, ligger priserne typisk mellem 5.000 kr. for en skabelonbaseret gennemgang og 20.000 kr. for en skræddersyet kortlægning med workshops. Tænketanken bag prisspredningen er simpel: jo mere leverandøren behøver at forstå din specifikke forretning, desto dyrere bliver det. Derefter kommer en løbende indsats på 5-10 timer årligt til review og opdatering — typisk i forbindelse med årsrapporten.
Alternativet er at starte med en automatiseret scan. GDPRscanner gennemgår dit website og dine offentligt tilgængelige dokumenter på under 2 minutter og leverer en konkret handlingsliste i Kalibrering-4-format: Fund (hvad vi så), GDPR-relevant (hvorfor det betyder noget), Risikoniveau (lav/mellem/høj), Vejledning (hvad reglen siger), Løsning (konkret teknisk fix) og Anbefaling (prioritet). Den gratis scan identificerer de største huller, og den fulde rapport til 1.295 kr. giver dig samme format på hvert punkt — inklusive en audit-pas, hvor en anden LLM-instans kvalitetssikrer rapporten, før du modtager den. Se et eksempel i vores eksempel-rapport og læs om vores egen opsætning på saadan-er-vi-compliant.
Ofte stillede spørgsmål
Skal en SMB med under 10 ansatte udpege en DPO?
Nej, ikke medmindre din kernevirksomhed består af systematisk overvågning i stor skala eller behandling af særlige kategorier af personoplysninger (helbred, strafbare forhold, politisk overbevisning). En typisk webshop eller B2B-konsulent er fritaget for DPO-kravet, men skal stadig have en kontaktperson for GDPR-spørgsmål angivet i privatlivspolitikken.
Gælder GDPR, hvis jeg kun sælger til virksomhedskunder?
Ja. B2B-kunder har ikke personoplysninger som virksomhed, men dine kontaktpersoner hos kunden (indkøbschef, bogholder, kontaktperson) har. Deres navne, e-mails og telefonnumre er personoplysninger og falder ind under GDPR, selvom den juridiske kunde er en virksomhed.
Hvor hurtigt skal jeg svare på en indsigtsanmodning?
Senest 30 dage efter modtagelse. Du kan forlænge med yderligere 2 måneder, hvis sagen er kompleks — men du skal begrunde forlængelsen over for den registrerede inden for de første 30 dage. Et standardsvar, der bekræfter modtagelsen og giver en forventet tidshorisont, er god praksis.
Hvad hvis min leverandør ikke vil udlevere en DPA?
Det er et rødt flag. Standard-DPA'er er gratis og tilgængelige hos alle seriøse EU-baserede leverandører. Hvis leverandøren ikke vil eller kan udlevere en DPA, har du reelt to valg: finde en alternativ leverandør, eller dokumentere den manglende aftale som en kendt risiko med en mitigation-plan. Datatilsynet ser skarpt på "manglende DPA" som en selvstændig overtrædelse.
Næste skridt
Det eneste, der er værre end at have GDPR-problemer, er at vide det og ikke gøre noget. Kør en gratis GDPR-scan og få en baseline over, hvor du står i dag — så ved du, hvad der skal rettes, og hvad der allerede er i orden. Det tager 2 minutter, og du får et konkret notat tilsendt.
Når du har baseline på plads, er næste naturlige skridt at kigge på de to områder, der koster flest SMB'er penge: cookie-banneret og privatlivspolitikken. Vores tilgang er altid den samme: konkret, dokumenteret, uden juridisk jargon.