5. juli 2026
GDPR og nyhedsbreve — sådan indsamler du samtykke korrekt
Hvad kræver GDPR og markedsføringsloven når du sender nyhedsbreve? Guide til gyldigt samtykke, dokumentation, afmelding og de typiske fejl på danske hjemmesider.
Nyhedsbrevet, der ser uskyldigt ud
Et nyhedsbrev virker som noget af det mest harmløse, en virksomhed kan have gang i. Du samler nogle e-mailadresser, du skriver noget fornuftigt en gang om måneden, og folk kan jo bare melde sig fra, hvis de ikke gider. Sådan tænker de fleste, og det er præcis derfor, tilmeldingsflowet sjældent bliver tænkt ordentligt igennem.
Problemet er, at et nyhedsbrev rører ved to regelsæt på én gang. Det handler om personoplysninger, og det handler om markedsføring, og de to ting styres af hver sin lov med hver sin myndighed bag. Denne guide gennemgår, hvad de to regelsæt kræver, hvad et gyldigt samtykke egentlig består af, hvordan du dokumenterer det, og hvilke fire fejl vi oftest ser på danske hjemmesider. Målet er, at du bagefter kan kigge på din egen tilmeldingsformular og vide, hvad du skal se efter.
To regelsæt, der spiller sammen
Når du sender et nyhedsbrev, træder du ind på to baner samtidig.
Det ene er GDPR. En e-mailadresse er en personoplysning, og i det øjeblik du gemmer den på en liste og bruger den til at sende mails, behandler du persondata. Det betyder, at du skal have et retsgrundlag for behandlingen, at du skal oplyse folk om, hvad der sker med deres data, og at du skal kunne dokumentere det hele. Datatilsynet er myndigheden, der fører tilsyn med den del.
Det andet er markedsføringsloven, og især dens §10. Den bestemmelse forbyder som udgangspunkt, at en virksomhed sender elektronisk markedsføring — mails, sms'er og lignende — til nogen, der ikke på forhånd har bedt om det. Det er det, man i daglig tale kalder spam-forbuddet. Her er det Forbrugerombudsmanden, der holder øje.
De to regelsæt overlapper, men de er ikke identiske, og det er vigtigt at forstå. Selv hvis du har et lovligt GDPR-grundlag for at gemme en adresse, må du ikke automatisk sende markedsføring til den. Markedsføringsloven kræver sit eget forudgående samtykke, før den første reklame-mail overhovedet må ryge afsted. Med andre ord: GDPR handler om, hvorvidt du må gemme og behandle adressen, mens markedsføringsloven handler om, hvorvidt du må sende reklame til den. Du skal have styr på begge dele.
Hvad kræver et gyldigt samtykke?
Både GDPR og markedsføringsloven læner sig op ad den samme kerneidé om, hvad et samtykke er. GDPR definerer det som en frivillig, specifik, informeret og utvetydig viljestilkendegivelse. Pak de fire ord ud, og du har hele kravet.
Frivilligt betyder, at personen har et reelt valg. Du må ikke gøre adgangen til noget andet — en rabatkode, en gratis e-bog, gennemførelsen af et køb — betinget af, at man også siger ja til nyhedsbrevet, hvis nyhedsbrevet ikke er nødvendigt for netop den ydelse. Kobler du de to sammen, er samtykket ikke længere frit givet.
Specifikt betyder, at samtykket skal gælde et bestemt, klart formål. "Ja til at modtage vores nyhedsbrev med tilbud og nyheder" er specifikt. Et samtykke, der i én sætning dækker nyhedsbreve, videregivelse til partnere og profilering på tværs af systemer, er det ikke. Ét formål, ét afkrydsningsfelt.
Informeret betyder, at personen ved, hvad hun siger ja til, før hun gør det. Hvem afsenderen er, hvad hun kommer til at modtage, og hvor hun kan læse mere. Det behøver ikke fylde meget — en kort sætning ved feltet med et link til privatlivspolitikken er nok.
Utvetydigt betyder, at der skal ligge en aktiv handling bag. Et flueben, man selv sætter, eller en knap, man selv trykker på. Tavshed, en forudsat accept eller et felt, der allerede er krydset af, tæller ikke. Netop den sidste detalje — det forhåndsafkrydsede felt — er en klassiker, og reglerne er tydelige om, at den slags ikke udgør et gyldigt samtykke.
Dokumentation: kan du vise, at der blev sagt ja?
Et samtykke er kun så meget værd, som din evne til at bevise det. GDPR lægger bevisbyrden hos dig: bliver der stillet spørgsmål ved en adresse på din liste, er det dig, der skal kunne dokumentere, at personen faktisk har sagt ja. Kan du ikke det, står du reelt uden grundlag, uanset hvor sikker du er på, at samtykket engang blev givet.
I praksis betyder det, at du for hver abonnent bør kunne fremvise tre ting: hvornår samtykket blev givet, hvordan det blev givet, og hvilken tekst personen sagde ja til. Datoen og kanalen — tilmeldingsformularen på forsiden, feltet ved kassen, en tilmelding på en messe — dokumenterer, at handlingen skete. Teksten dokumenterer, hvad der blev sagt ja til, og den er vigtig, fordi et samtykke kun dækker det formål, der stod beskrevet på det tidspunkt.
De fleste seriøse nyhedsbrevsværktøjer gemmer den slags samtykke-log automatisk, men det er værd at tjekke, at din opsætning faktisk gør det, og at loggen kan trækkes ud igen. En god øvelse er at vælge en tilfældig abonnent og prøve at fremskaffe de tre oplysninger. Kan du det på et par minutter, er dokumentationen på plads. Skal du gætte, er der arbejde at gøre.
Her hjælper det såkaldte dobbelt opt-in, hvor abonnenten bekræfter sin tilmelding via et link i en bekræftelsesmail. Det er ikke et lovkrav i sig selv, men det er en af de mest robuste måder at dokumentere på: du får både en tidsstemplet tilmelding og et bevis for, at adressen rent faktisk tilhører den, der tilmeldte sig.
Afmelding skal være lige så let som tilmelding
GDPR giver enhver ret til at trække sit samtykke tilbage, og det skal være lige så let at gøre, som det var at give det. For et nyhedsbrev er kravet konkret: hver eneste udsendelse skal indeholde en tydelig og fungerende afmeldingsmulighed, typisk et afmeldingslink i bunden.
"Lige så let" er ikke bare en pæn hensigt. Det udelukker de kneb, man af og til støder på: at man skal logge ind for at afmelde, at man skal skrive en mail og bede pænt om det, eller at afmeldingen først "behandles" efter uger, hvor der når at komme flere mails. Et klik skal være nok, og virkningen skal indtræde hurtigt. Når nogen har afmeldt sig, skal udsendelserne stoppe — og du bør beholde et minimalt spor af, at personen har frabedt sig markedsføring, så du ikke kommer til at tilmelde vedkommende igen ved en fejl.
Kunde-undtagelsen — snæver, men brugbar
Markedsføringsloven har én undtagelse fra kravet om forudgående samtykke, og den er værd at kende, fordi den er nyttig og samtidig oftere misforstået end nogen anden regel på området. §10 giver dig lov til at markedsføre dine egne tilsvarende produkter eller tjenester til en eksisterende kunde uden nyt samtykke — men kun hvis en række betingelser alle er opfyldt.
For det første skal du have fået e-mailadressen i forbindelse med et salg. En adresse fra en konkurrence, en downloadet folder eller en almindelig henvendelse tæller ikke. For det andet må du kun markedsføre tilsvarende produkter — altså noget, der ligner det, kunden faktisk købte. Solgte du et par løbesko, ligger løbeudstyr inden for; en helt anden produktkategori gør ikke. For det tredje skal kunden allerede ved indsamlingen have haft mulighed for nemt at frabede sig markedsføringen, og den mulighed skal gentages i hver efterfølgende mail.
Undtagelsen er altså reel, men snæver. Den er tænkt til den naturlige opfølgning over for en, du allerede har handlet med, ikke som en genvej uden om samtykkekravet. Er du i tvivl om, hvorvidt din situation falder inden for, er det som regel et tegn på, at den ikke gør — og så er det tryggere at bede om et almindeligt samtykke.
De fire fejl vi oftest ser
Når vi kigger på danske hjemmesiders tilmeldingsflows, går de samme fire fejl igen.
Forhåndsafkrydsede felter. Feltet "Ja tak til nyhedsbrevet" står krydset af, når siden loader, så man skal aktivt fjerne fluebenet for at slippe. Det vender kravet om aktivt tilvalg på hovedet, og et samtykke indsamlet på den måde holder ikke.
Samtykke gemt i handelsbetingelserne. Tilmeldingen til nyhedsbrevet ligger begravet som en linje inde i "Jeg accepterer handelsbetingelserne". Det bryder med kravet om, at et samtykke skal være specifikt og adskilt fra andre forhold. Kunden accepterer betingelserne for at kunne købe — ikke for at få reklamer — og de to ting kan ikke pakkes sammen i ét flueben.
Ordrebekræftelser fyldt med reklame. En transaktionsmail — ordrebekræftelse, fragtstatus, kvittering — er noget kunden skal have for at gennemføre handlen, og den kræver ikke markedsføringssamtykke. Men i det øjeblik du fylder den med "Se også vores andre tilbud" og kampagnebannere, bliver den reel markedsføring, og så gælder samtykkekravet, medmindre den snævre kunde-undtagelse er opfyldt. Grænsen mellem service-mail og reklame er lettere at overskride, end man tror.
Manglende dobbelt-dokumentation. Adresserne ligger på listen, men der er intet spor af, hvornår og hvordan hver enkelt sagde ja. Ofte er listen bygget op over år, importeret fra et gammelt system eller suppleret manuelt, og samtykke-loggen er væk. Det er den fejl, der er sværest at rette bagud, fordi du ikke kan dokumentere noget, du ikke registrerede dengang.
De fire fejl hænger sammen med de øvrige områder, hvor små virksomheder oftest mangler noget — dem har vi samlet i vores GDPR-tjekliste for små virksomheder, hvis du vil have det bredere overblik.
Tip
En hurtig egenkontrol: åbn din tilmeldingsformular i et privat browservindue. Er der noget felt, der allerede er krydset af? Kan du med en enkelt sætning se, hvad man siger ja til, og hvem afsenderen er? Åbn så en tilfældig udsendelse og tjek, at afmeldingslinket er der og virker. De tre tjek fanger de fleste af de fejl, der koster.
Start med at se på formularen
Et lovligt nyhedsbrev handler til syvende og sidst om nogle få konkrete ting, der skal være på plads i tilmeldingsflowet: et aktivt, specifikt valg, en klar tekst om hvad man siger ja til, et dokumenteret spor af samtykket, og en afmelding, der virker. Ingen af delene er svære at få styr på, men de bliver sjældent tjekket, fordi formularen typisk blev sat op én gang og aldrig kigget på igen.
Vores gratis scanning ser blandt andet på, hvordan formularerne på din side er sat op, og hvilke tredjeparts-tjenester der aktiveres, når nogen tilmelder sig. Vil du have et konkret billede af, hvor din tilmelding står i dag, kan du køre en gratis GDPR-scan og få en handlingsliste at gå videre med — i stedet for at gætte dig frem.