Gælder GDPR for min lille virksomhed?

Ja. GDPR gælder for alle virksomheder der behandler personoplysninger om EU-borgere, uanset størrelse. Det inkluderer kundedatabaser, nyhedsbreve, kontaktformularer og medarbejderdata.

Hvad koster det at overholde GDPR som iværksætter?

For de fleste iværksættere koster det ingen penge at blive GDPR-compliant. Du skal bruge tid på at lave en fortegnelse over behandlingsaktiviteter og opdatere din privatlivspolitik, men de fleste værktøjer til dette er gratis.

Hvor store er GDPR-bøderne?

Bøder kan være op til 20 millioner euro eller 4% af den globale årsomsætning. I praksis er bøder til små virksomheder i Danmark dog typisk mellem 25.000 og 200.000 kr ved alvorlige overtrædelser.

GDPR-guide til iværksættere

GDPR gælder for alle virksomheder der håndterer personoplysninger — også din. Uanset om du er enmandsvirksomhed eller har fem ansatte, skal du overholde persondataforordningen. Den gode nyhed er at det for de fleste iværksættere handler om nogle få, konkrete ting.

Mange iværksættere udskyder GDPR fordi det lyder kompliceret og juridisk. Men i virkeligheden handler det om sund fornuft: vid hvilke data du har, beskyt dem ordentligt, og vær åben over for dine kunder om hvad du bruger dem til.

Denne guide giver dig de konkrete trin du skal tage for at blive GDPR-compliant. Ingen juridisk sludder — bare det du faktisk har brug for at gøre.

Hvad er GDPR?

GDPR (General Data Protection Regulation) er EU's persondataforordning der trådte i kraft i 2018. Den beskytter EU-borgeres personoplysninger og stiller krav til alle virksomheder der indsamler, opbevarer eller bruger persondata.

Personoplysninger er alt der kan identificere en person: navn, email, telefonnummer, IP-adresse, kundenummer, billeder og meget mere. Hvis du har en kontaktformular på din hjemmeside, sender nyhedsbreve eller har en kundedatabase, behandler du persondata.

Gælder det for min virksomhed?

Ja. Der er ingen undtagelse for små virksomheder. Uanset om du er freelancer, enkeltmandsvirksomhed eller startup, gælder GDPR for dig. Forskellen er at kravene til dokumentation og processer er mindre for små virksomheder end for store koncerner.

Konsekvenser ved overtrædelse: Bøder kan i teorien være op til 20 millioner euro. I praksis giver Datatilsynet typisk bøder mellem 25.000 og 200.000 kr til små virksomheder ved alvorlige overtrædelser. Men den største risiko er ofte omdømmetab og tab af kundetillid.

6 ting du skal have styr på

Fortegnelse over behandlingsaktiviteter

Lav en liste over alle de steder du indsamler, opbevarer eller bruger persondata. Det kan være kundedatabaser, nyhedsbreve, kontaktformularer, medarbejderoplysninger og regnskabssystemer.

Privatlivspolitik

Din hjemmeside skal have en privatlivspolitik der forklarer hvilke data du indsamler, hvorfor, og hvor længe du opbevarer dem. Den skal være skrevet i et klart og forståeligt sprog.

Databehandleraftaler

Bruger du tjenester der behandler data på dine vegne? Mailchimp, Google Analytics, et regnskabsprogram? Så skal du have en databehandleraftale med hver af dem.

Samtykke og cookiebanner

Hvis du bruger cookies til markedsføring eller statistik, skal besøgende give samtykke først. Et cookiebanner er lovpligtigt på de fleste hjemmesider.

Sikkerhed og adgangskontrol

Du skal beskytte persondata med passende sikkerhed. Det betyder stærke passwords, krypteret forbindelse (HTTPS) på din hjemmeside og begrænset adgang til følsomme data.

Ret til indsigt og sletning

Dine kunder har ret til at se hvilke data du har om dem, og de kan bede dig slette dem. Du skal kunne håndtere sådanne henvendelser inden for 30 dage.

Typiske fejl iværksættere laver

Kontaktformular uden formål

Din kontaktformular skal forklare hvad data bruges til. "Vi bruger dine oplysninger til at besvare din henvendelse" er nok.

Nyhedsbrev uden samtykke

Du må ikke tilføje folk til dit nyhedsbrev uden deres aktive samtykke. Et forudfyldt flueben tæller ikke.

Ingen cookiebanner

Google Analytics, Facebook Pixel og lignende kræver samtykke. Uden cookiebanner risikerer du en bøde.

Opbevarer data for evigt

Du skal have en politik for hvornår data slettes. Kundedata fra en afsluttet ordre bør ikke ligge i dit system i 10 år.

Manglende databehandleraftale

Hver gang du bruger en ekstern tjeneste der håndterer persondata, skal der være en aftale. De fleste store tjenester tilbyder dem automatisk.

GDPR og din hjemmeside

Din hjemmeside er typisk det sted hvor du indsamler mest data. Her er hvad du skal have styr på:

Kontaktformularer

Hver kontaktformular skal have en kort tekst der forklarer hvad du bruger oplysningerne til. For eksempel: "Dine oplysninger bruges til at besvare din henvendelse og slettes efter 12 måneder."

Cookies og tracking

Bruger du Google Analytics, Facebook Pixel eller anden tracking? Så skal du have et cookiebanner der beder om samtykke før cookies sættes. Det er ikke nok at informere — du skal have aktivt samtykke.

Et godt alternativ er at bruge cookie-fri analytics som Fathom eller Plausible. De kræver ikke cookiebanner og er fuldt GDPR-compliant.

Nyhedsbrev

Hvis du indsamler emailadresser til nyhedsbrev, skal brugeren aktivt tilmelde sig. Du skal dokumentere hvornår og hvordan samtykket blev givet, og det skal være nemt at afmelde sig igen.

Gratis værktøjer til GDPR

Datatilsynets vejledning

Datatilsynet har gratis vejledninger og skabeloner specifikt til små virksomheder. Start her.

Cookiebot (gratis plan)

Cookiebanner der automatisk scanner din hjemmeside for cookies. Gratis for op til 100 undersider.

Privatlivspolitik-generator

Flere danske advokatkontorer tilbyder gratis skabeloner til privatlivspolitik. Tilpas den til din virksomhed.

Google Tag Manager

Gør det nemt at styre hvornår cookies og tracking aktiveres baseret på brugerens samtykke.

GDPR-tjekliste for iværksættere

Lav en liste over alle steder du indsamler persondata

Skriv en privatlivspolitik og publicer den på din hjemmeside

Sæt et cookiebanner op hvis du bruger tracking eller statistik

Tjek at du har databehandleraftaler med dine leverandører

Sørg for HTTPS på din hjemmeside

Brug en password manager til alle logins

Lav en procedure for indsigts- og sletningsanmodninger

Sæt en dato for hvornår gamle kundedata slettes

Informer eventuelt personale om GDPR-regler

Gennemgå din GDPR-compliance mindst en gang om året

Ofte stillede spørgsmål om GDPR

Skal jeg have en DPO (databeskyttelsesrådgiver)?

Nej, ikke som iværksætter. En DPO er kun påkrævet for offentlige myndigheder og virksomheder der behandler persondata i stor skala som kerneopgave. En normal iværksætter med en kundedatabase og et nyhedsbrev behøver ikke en DPO.

Hvad med mine regnskabsdata?

Bogføringsdata har særlige opbevaringsregler. Du skal gemme regnskabsmateriale i 5 år efter regnskabsårets afslutning ifølge bogføringsloven. GDPR ændrer ikke på det — men du bør slette øvrige kundedata der ikke er nødvendige for regnskabet.

Kan jeg bruge amerikanske tjenester?

Ja, men vær opmærksom. Efter EU-US Data Privacy Framework (2023) kan du bruge amerikanske tjenester der er certificeret under denne aftale. De fleste store tjenester som Google, Microsoft og Mailchimp er det. Tjek at din leverandør er certificeret.

Relaterede guides

GDPR hænger tæt sammen med IT-sikkerhed. God sikkerhed er fundamentet for at beskytte persondata. Start med at få styr på dit eget domæne så du har fuld kontrol over din virksomheds data.

Vælg den rigtige kontorsoftware der overholder GDPR fra starten. Det er langt nemmere end at rette det bagefter.

Se alle vores guides til iværksættere for flere tips til at drive din virksomhed sikkert og effektivt.

Se alle guides Kontorsoftware-guide

GDPR-regler for iværksættere