Forside · Viden · GDPR-guide
GUIDE · 20 MIN. LÆSNING

GDPR-regler uden jura-sprog.

En ærlig guide til danske virksomheder. Vi vil ikke belære jer. Vi vil ikke skræmme jer. Vi vil bare forklare det på dansk, så I kan beslutte, hvad I rent faktisk skal gøre.

Maj 2026Af BestSecuritySandsynligvis det mest værdifulde GDPR-arbejde, I laver i år

KORT SVAR

GDPR kræver tre ting af de fleste virksomheder: en behandlingsfortegnelse over jeres persondata, databehandleraftaler (DPA) med alle leverandører der håndterer jeres data, og en hændelsesplan til anmeldelse af databrud inden for 72 timer.

KAPITEL 1

Vi forstår det godt.

Du hader sikkert GDPR. Det gør de fleste. Vi gør faktisk også, når vi læser den juridiske tekst.

Den er skrevet af jurister til jurister, og det er ikke noget tilfælde, at de fleste virksomheder enten ignorerer det, betaler en konsulent en formue for at fortælle dem, hvad de skal gøre, eller bare håber, at Datatilsynet ikke kigger forbi.

Vi vil ikke belære dig. Vi vil ikke skræmme dig. Vi vil bare forklare det her på dansk, så du kan beslutte, hvad I rent faktisk skal gøre i jeres virksomhed.

Det her dokument tager 20 minutter at læse. Det er sandsynligvis det mest værdifulde GDPR-arbejde, I laver i år.

KAPITEL 2

Det handler bare om én ting.

Hvis du ikke gider læse resten af dokumentet, så husk i hvert fald det her:

"Når kunder, medarbejdere eller andre giver dig deres oplysninger, så pas på dem, som om de var dine egne."

Det er hele GDPR. Resten er bare den juridiske formulering af det princip.

Tænk på det sådan: hvis du selv afleverede dit CPR-nummer, din mailadresse og din adresse til en lokal håndværker, ville du så ikke gå ud fra, at han passer på det? At han ikke sender det rundt til alle sine bekendte? At han ikke lader det ligge frit fremme i butikken? At han kan fortælle dig, hvad han bruger det til?

Selvfølgelig ville du det. Det er almindelig anstændighed. GDPR er den lov, der siger, at virksomheder skal opføre sig sådan. Ikke som en venlig opfordring, men som et krav.

KAPITEL 3

Hvad er persondata egentlig?

Den juridiske definition er lang. Den praktiske er simpel:

"Hvis du kan finde frem til en bestemt person ud fra oplysningen, så er det persondata."

ER PERSONDATA

  • Navn
  • Mailadresse
  • Telefonnummer
  • Adresse
  • CPR-nummer
  • Foto, hvor man kan kende personen
  • IP-adresse
  • Kundenummer
  • Brugernavn
  • Lønoplysninger
  • Nummerplader på biler
  • Stemmen i en optaget samtale

ER IKKE PERSONDATA

  • "Vi har solgt 50 produkter i Q1"
  • "Vores kundebase er vokset 20%"
  • En liste over byer, hvor I har kunder, uden navne

FØLSOMME OPLYSNINGER, STRENGERE REGLER

  • Helbredsoplysninger
  • Religion, politisk holdning
  • Seksuel orientering, etnicitet
  • Biometriske og genetiske data

Den vigtige skelnen er: Kan du linke det til en bestemt person? Hvis ja, så er det persondata, og du skal behandle det med respekt. Behandler I følsomme oplysninger, gælder der strengere regler, typisk for klinikker, fitnesscentre med helbredsdata, eller HR-mapper med sygehistorik.

KAPITEL 4

De 6 grunde til at I overhovedet behandle persondata.

Det her er en regel, mange overser, men den er fundamental:

"I må ikke behandle persondata, bare fordi I gerne vil."

I skal have en grund. Loven anerkender 6 grunde:

  1. Kunden har sagt ja (samtykke)Newsletter-tilmeldinger, marketing-cookies, billeder på Facebook. Kunden skal aktivt have valgt det.
  2. I har en kontrakt med personenI skal levere en vare, sende fakturaer eller levere ydelser. Det kræver naturligt nogle oplysninger.
  3. Loven kræver detBogføringsloven kræver, at I gemmer fakturaer i 5 år. Arbejdsmiljøloven kræver visse medarbejderoplysninger.
  4. Det er nødvendigt for at redde nogens livSjældent for de fleste virksomheder.
  5. Det er en samfundsopgaveGælder primært offentlige myndigheder.
  6. I har en berettiget interesseDet her er den mest fleksible, men også mest misbrugte. I må gerne behandle data, hvis I har en god grund, og det ikke overskrider hensynet til personen. Eksempel: sende en faktura-påmindelse til en kunde, der ikke har betalt.

For de fleste virksomheder gælder primært 1, 2 og 3. Det er sjældent kompliceret. Det vigtige er: I skal vide, hvilken grund I bruger, og kunne forklare den, hvis nogen spørger.

KAPITEL 5

Hvad skal I rent faktisk gøre i hverdagen?

Her er den korte liste over, hvad GDPR i praksis betyder for en almindelig dansk virksomhed:

Hav en oversigt

I skal kunne svare på spørgsmålet: "Hvilke persondata har I, hvor ligger de, og hvorfor?"

Det kaldes en behandlingsfortegnelse. Det er bare en liste. Den behøver ikke være lang. Den behøver ikke være pæn. Den skal bare være.

HVADHVORHVORFORHVOR LÆNGE
KundedataI vores CRMVi skal kunne sende fakturaer5 år efter sidste køb
MedarbejderdataLønsystemVi skal udbetale lønI ansættelsen + 5 år
NewsletterMailchimpDe har sagt ja til markedsføringIndtil de afmelder

Det er det. Det er ikke sværere end det.

I BESTSECURITY.IO

Behandlingsfortegnelsen genereres automatisk

I udfylder fem felter om jeres virksomhed, CVR, branche, antal ansatte, kontaktperson og databeskyttelsesrådgiver. Platformen henter virksomhedsdata fra CVR-registeret og bygger jeres behandlingsfortegnelse automatisk. Den opdateres løbende og kan eksporteres som PDF, når Datatilsynet eller en kunde spørger.

Hav en privatlivspolitik

På jeres hjemmeside skal stå, hvad I gør med persondata. Hvilke I samler, hvorfor, hvor længe, og hvad folk kan gøre, hvis de vil have indsigt eller sletning. Den findes som skabelon mange steder. Tilpas den til jeres situation. Gør den ikke længere end nødvendigt.

I BESTSECURITY.IO

30 dokumenter genereres automatisk

Privatlivspolitik, IT-sikkerhedspolitik, opbevaringspolitik, hændelsesplan, databehandleraftaler og 25 andre, alle udfyldt med jeres specifikke data. Ingen tomme skabeloner. Dokumenterne opdaterer sig selv, når noget ændrer sig.

Pas på adgangen

Hvem hos jer kan se hvad? Det burde ikke være alle, der kan se alt. Bogholderen behøver ikke se kundeklager. Sælgeren behøver ikke se lønsedler. Studentermedhjælpen behøver ikke se HR-mappen.

Hav forskellige niveauer af adgang. Brug stærke passwords. Brug to-faktor-godkendelse, hvor det er muligt.

Hav databehandleraftaler med jeres leverandører

Når I bruger systemer, der behandler persondata for jer, fx Microsoft 365, et regnskabsprogram eller en hjemmeside-host, skal I have en databehandleraftale med dem. Det lyder besværligt. Det er det ikke. De fleste seriøse leverandører har en standardaftale liggende. I downloader den, skriver under og gemmer den. Færdig.

Listen over alle jeres databehandlere skal I have liggende. Den skal opdateres, når I skifter leverandør.

I BESTSECURITY.IO

Komplet databehandler- og DPA-styring

Platformen holder en levende oversigt over alle jeres databehandlere med DPA-status, fornyelsesdatoer, tredjelandsoverførsler og underdatabehandlere. I kan generere nye DPA'er direkte i portalen baseret på Datatilsynets officielle skabelon, og få notifikationer, når en aftale skal fornyes.

Hav en plan for, når det går galt

Det går galt en dag. En mail sendes til den forkerte. En laptop bliver stjålet. En medarbejder klikker på en phishing-mail.

Når det sker, har I 72 timer til at vurdere, om det skal anmeldes til Datatilsynet. Det lyder hårdt, men hvis I har en simpel plan på papir for, hvem der gør hvad, så er det håndterbart.

I BESTSECURITY.IO

Hændelseshåndtering med 72-timers tracker

Når et brud opstår, registrerer I det i platformen. Den klassificerer hændelsen, starter automatisk en 72-timers nedtælling mod GDPR Art. 33-fristen, genererer anmeldelsesdokumentet, hvis det skal sendes til Datatilsynet, og logger hver eneste handling som audit-spor. Ingen panik, ingen Excel-ark, ingen glemte deadlines.

Slet hvad I ikke behøver

Hold ikke på data længere end nødvendigt. Hvis en kunde ikke har handlet hos jer i 5 år, og bogføringsloven ikke kræver det, så slet dem. Det er ikke kun lovligt påkrævet. Det er også sund fornuft, jo mindre data I har, jo mindre risiko har I.

KAPITEL 6

Hvad gør I, når...

En kunde beder om indsigt

Det vil ske. En kunde skriver: "Jeg vil gerne vide, hvilke oplysninger I har om mig."

I har 30 dage til at svare. I skal sende dem en oversigt over, hvilke data I har, hvor I har dem fra, og hvad I bruger dem til.

Det er ikke noget, I kan ignorere. Det er en lovsikret ret. Og hvis I ikke svarer, kan kunden klage til Datatilsynet, og så får I en sag.

Det smarte er at have et system klar, inden det sker. Hvem hos jer håndterer den slags? Hvor henter de oplysningerne? Hvordan sender I svaret sikkert? Aftal det nu, mens I har ro. Det er meget sværere, når mailen ligger der.

I BESTSECURITY.IO

Indsigtsanmodninger håndteres struktureret

Når en kunde beder om indsigt, opretter I sagen i platformen. Den genererer et standardiseret svar-skema, holder styr på 30-dages fristen og dokumenterer hver handling. Når svaret sendes, har I et komplet audit-spor, så hvis kunden senere klager, kan I dokumentere hele forløbet.

Der sker et brud

Et brud er, når persondata kommer i de forkerte hænder. Eksempler:

  • En medarbejder sender et regneark med kundedata til en forkert mailadresse
  • En laptop med kundedata bliver stjålet
  • Jeres hjemmeside bliver hacket
  • Et ransomware-angreb krypterer jeres systemer
  • En medarbejder tager kundedata med sig efter en fyring

Når det sker, har I 72 timer fra det øjeblik, I opdagede det, til I skal vurdere, om Datatilsynet skal informeres.

Ikke alle brud skal anmeldes. Hvis I sender en intern mail til den forkerte kollega, som ikke skulle have set den, og kollegaen sletter den med det samme, så er risikoen lav. Men hvis kundeoplysninger kommer ud til folk, der ikke skulle have dem, så skal det anmeldes.

Det vigtigste råd, vi kan give: Anmeld hellere én gang for meget end én gang for lidt. Datatilsynet straffer ikke virksomheder, der anmelder. De straffer virksomheder, der ikke anmelder.

En medarbejder siger op

Lav en proces for, hvad der sker dagen efter:

  • Adgangskoder ændres
  • Adgang til systemer fjernes
  • Det vurderes, om vedkommende har taget data med
  • Mail-adresse afsluttes eller omdirigeres

Det her er ikke paranoia. Det er normal forretningsdrift.

I får en henvendelse fra Datatilsynet

Tag det alvorligt. Læs, hvad de spørger om. Svar inden den frist, de giver. Vær ærlig.

Hvis I har gjort jeres arbejde, har en behandlingsfortegnelse, har databehandleraftaler, har en plan, så er en henvendelse fra Datatilsynet ikke katastrofalt. Hvis I ikke har gjort noget, og de spørger ind, så er det et godt tidspunkt at få hjælp af en konsulent eller advokat. Hurtigt.

KAPITEL 7

De ting, der oftest koster bøder.

Hvis I vil prioritere indsatsen, så er det her, hvad Datatilsynet typisk straffer for:

Ingen behandlingsfortegnelse

Det vigtigste dokument, I skal have. Det er reelt en liste, men I skal kunne fremvise den.

Manglende databehandleraftaler

Hvis I bruger Microsoft 365 eller et regnskabsprogram og ikke har en databehandleraftale, så er det en bøde-risiko.

Manglende reaktion på indsigtsanmodninger

Hvis kunder beder om indsigt, og I ikke svarer inden 30 dage, så er det også en bøde-risiko.

For lang opbevaringstid

Hvis I gemmer data længere end nødvendigt, og særligt hvis I ikke kan begrunde hvorfor.

Brud, der ikke anmeldes

Hvis I har haft et brud og ikke anmeldt det, og Datatilsynet senere finder ud af det, så er det værre end at have haft bruddet.

I BESTSECURITY.IO

Platformen adresserer alle fem bødeområder

Behandlingsfortegnelse auto-genereres. Databehandleraftaler styres centralt med fornyelsesnotifikationer. Indsigtsanmodninger har deadline-tracking. Opbevaringstider håndteres pr. datakategori. Brud registreres i hændelsesmodulet med 72-timers tracker. Det er ikke fordi platformen gør jer 100% sikre mod bøder, men den fjerner de fem mest oplagte fejl, der typisk koster penge.

KAPITEL 8

Hvorfor det faktisk er en god ting.

Vi har brugt det meste af dokumentet på at forklare, hvordan I navigerer reglerne. Lad os til sidst sige det andet, vi mener:

"GDPR er faktisk en god ting."

Tænk på dig selv som forbruger. Du afleverer dit CPR-nummer, dine kontooplysninger, dine helbredsdata og din adresse til snesevis af virksomheder hvert år. Vil du gerne vide, at de passer på det?

Selvfølgelig. GDPR er den lov, der sikrer, at de gør det. At de ikke sælger dine data videre uden at fortælle dig det. At de sletter dem, når de ikke har brug for dem længere. At de fortæller dig, hvis nogen stjæler dem.

Som virksomhed kan det føles som besværligt papirarbejde. Som forbruger er det en beskyttelse, vi alle har glæde af.

Og som virksomhed er der også en fordel: når I har styr på persondata, er I også beskyttet bedre mod hacks, datalækager og interne fejl. GDPR tvinger jer til at gøre ting, der gør jeres virksomhed mere robust. Det er ikke kun bureaukrati, det er også god forretningsdrift.

KAPITEL 9

Sådan kommer I i gang.

Hvis I læser det her og tænker "vi har slet ikke styr på det her", så er det første skridt at lave en oversigt.

Sæt en time af. Sæt jer ned med en kop kaffe og lav en liste:

  • Hvilke systemer indeholder persondata?
  • Hvilke leverandører behandler data for os?
  • Hvilke politikker har vi liggende, og er de opdaterede?
  • Hvem hos os har overblikket?

Når listen er der, ved I, hvor I står. Og I ved, hvor I skal starte. Resten kan I bygge stykvis. I behøver ikke gøre alt på én gang. I skal bare gøre det.

I BESTSECURITY.IO

Eller lad platformen gøre det meste for jer

I stedet for at bruge måneder på at samle behandlingsfortegnelser, skrive politikker, lave databehandleraftaler og holde styr på fornyelser, kan I lade BestSecurity.IO gøre det meste automatisk. Onboarding tager typisk under 30 minutter. Platformen koster fra 3.499 kr. pr. år. Book en gratis demo og se, hvor I står, uden salgssnak.

"Pas på folks data, som var det jeres eget. Resten kan læres."

OFTE STILLEDE SPØRGSMÅL

Hvad er en behandlingsfortegnelse, og skal vi have en?

En behandlingsfortegnelse er en oversigt over hvilke persondata I behandler, hvem der har adgang og hvad de bruges til. Den er obligatorisk for virksomheder med over 250 ansatte, men anbefales til alle, Datatilsynet kan bede om den.

Hvad er de tre vigtigste ting at have styr på for GDPR?

Behandlingsfortegnelse, databehandleraftaler (DPA) med jeres leverandører og en hændelsesplan med 72-timers tracker. Disse tre adresserer de fem hyppigste årsager til GDPR-bøder.

Behøver vi en DPO (databeskyttelsesrådgiver)?

Ikke nødvendigvis. En DPO er obligatorisk for offentlige myndigheder og visse private virksomheder der behandler store mængder følsomme data. De fleste SMV'er har ikke pligt til at have en.

Kan vi blive straffet selvom vi forsøger at overholde GDPR?

Datatilsynet straffer primært virksomheder der ignorerer reglerne eller skjuler brud. Virksomheder der arbejder aktivt med compliance, anmelder brud og samarbejder med tilsynet, ender typisk med påbud frem for bøde.

HAR I SPØRGSMÅL?

Vi tager gerne en uforpligtende snak.

Helt uden salgssnak. Vi snakker om, hvor I står, og hvad næste skridt kunne være.