GDPR for SMV'er: den praktiske guide til databeskyttelse
Få styr på GDPR som dansk SMV: hvad loven kræver, hvem den gælder for, og konkrete trin du kan tage allerede i dag.
GDPR er ikke kun for store koncerner med en juridisk afdeling - reglerne gælder alle virksomheder, der behandler personoplysninger om EU-borgere, uanset størrelse. Denne guide giver dig som dansk SMV-ejer et klart og praktisk overblik over, hvad du skal gøre for at overholde loven.
Hvad er GDPR, og gælder det for din virksomhed?
Databeskyttelsesforordningen (GDPR) trådte i kraft i maj 2018 og stiller krav til, hvordan virksomheder indsamler, opbevarer og bruger personoplysninger. En personoplysning er enhver information, der kan identificere en fysisk person - fx navn, e-mailadresse, IP-adresse eller CPR-nummer.
GDPR gælder for din virksomhed, hvis du behandler personoplysninger om kunder, medarbejdere, leverandører eller besøgende på din hjemmeside. Der er ingen omsætningsgrænse eller medarbejdergrænse, der fritager dig. Selv en enkeltmandsvirksomhed med en kundedatabase er omfattet.
Datatilsynet er den danske myndighed, der fører tilsyn med reglernes overholdelse og kan udstede bøder ved overtrædelser. Bøderne kan i alvorlige tilfælde udgøre op til 4 procent af virksomhedens globale omsætning eller 20 millioner euro, alt efter hvad der er højest.
De seks grundlæggende principper du skal kende
GDPR bygger på seks principper, som al behandling af personoplysninger skal leve op til:
- Lovlighed, rimelighed og gennemsigtighed - du skal have et gyldigt grundlag for at behandle oplysningerne, og den registrerede skal vide, hvad der sker med deres data.
- Formålsbegrænsning - oplysninger må kun bruges til det formål, de blev indsamlet til.
- Dataminimering - indsaml kun de oplysninger, du faktisk har brug for.
- Rigtighed - hold oplysningerne opdaterede og korrekte.
- Opbevaringsbegrænsning - slet oplysninger, når de ikke længere er nødvendige.
- Integritet og fortrolighed - beskyt oplysningerne mod uautoriseret adgang og utilsigtet tab.
Som virksomhedsejer er du ansvarlig for at kunne dokumentere, at du overholder alle seks principper - det kaldes ansvarlighed (accountability).
Konkrete trin til at komme i gang
Det kan virke overvældende, men du kan komme langt med disse fem trin:
1. Kortlæg dine datastrømme Lav en liste over, hvilke personoplysninger du indsamler, hvorfra de kommer, hvad de bruges til, og hvem der har adgang til dem. Dette er grundlaget for alt andet GDPR-arbejde.
2. Find dit behandlingsgrundlag For hver kategori af oplysninger skal du have et gyldigt retsgrundlag. De mest brugte er samtykke, opfyldelse af en kontrakt og legitim interesse. Samtykke skal være frivilligt, specifikt og dokumenterbart - en forudafkrydset boks holder ikke.
3. Opdater din privatlivspolitik Din hjemmeside skal have en klar og letforståelig privatlivspolitik, der forklarer, hvilke oplysninger du indsamler, hvorfor, hvem du deler dem med, og hvor længe du opbevarer dem. Skriv den i et sprog, dine kunder forstår.
4. Indgå databehandleraftaler Bruger du tredjeparts leverandører til fx e-mailmarketing, bogføring eller CRM, der behandler personoplysninger på dine vegne, skal du have en skriftlig databehandleraftale på plads med hver af dem.
5. Lav en procedure for sikkerhedsbrud Hvis der sker et brud på persondatasikkerheden, har du som udgangspunkt 72 timer til at anmelde det til Datatilsynet. Sørg for, at du ved, hvem der skal kontaktes internt, og at du har en skabelon klar.
Hvad koster manglende overholdelse?
Ud over risikoen for bøder kan manglende GDPR-overholdelse skade din virksomheds omdømme og kundetillid alvorligt. Datatilsynet gennemfører løbende tilsyn og reagerer på klager fra borgere. I 2024 og 2025 modtog Datatilsynet rekordmange klager fra privatpersoner i Danmark, og antallet af vejledende afgørelser over for SMV'er er stigende.
Det er heller ikke kun bøder, der er på spil. Kunder og samarbejdspartnere stiller i stigende grad krav om dokumenteret GDPR-compliance - særligt hvis du leverer til større virksomheder eller det offentlige.
Ofte stillede spørgsmål
Skal jeg udpege en databeskyttelsesrådgiver (DPO)? Langt de fleste SMV'er har ikke pligt til at udpege en DPO. Kravet gælder primært offentlige myndigheder og private virksomheder, der i stor skala behandler følsomme oplysninger som helbredsdata eller foretager systematisk overvågning. Du bør dog altid have en intern ansvarlig for databeskyttelse.
Gælder GDPR også for mine medarbejderoplysninger? Ja. Oplysninger om ansatte - fra lønsedler og sygedage til HR-journaler - er personoplysninger og er fuldt ud omfattet af GDPR. Du skal have et behandlingsgrundlag for dem, og medarbejderne har ret til indsigt i de oplysninger, du har registreret om dem.
Hvad er forskellen på en dataansvarlig og en databehandler? Du er dataansvarlig, når du bestemmer, til hvilket formål og med hvilke midler personoplysninger behandles. Bruger du en ekstern leverandør til selve behandlingen (fx et it-system eller en regnskabsplatform), er leverandøren databehandler. Leverandøren handler kun på dine instruktioner, og forholdet skal reguleres i en databehandleraftale.
Lad Legiant holde styr på det for dig
GDPR-kravene ændrer sig løbende, og det kan være svært at følge med som travl SMV-ejer. Legiant overvåger automatisk din compliancestatus, sender dig besked, når der er noget, du skal handle på, og hjælper dig med at dokumentere, at du overholder reglerne - uden at du behøver at være jurist. Prøv Legiant gratis og få overblik over din GDPR-status allerede i dag.
