Spring til indhold
Retsklar.dk
Tilbage til blog
GDPR·8 min læsetid·Philip

GDPR for små virksomheder — komplet tjekliste 2026

Find ud af om din virksomhed overholder GDPR. Gratis tjekliste med de 10 vigtigste krav for danske SMV'er.

GDPR (General Data Protection Regulation) gælder for alle virksomheder der behandler persondata — uanset størrelse. Også din. Selv en enkeltmandsvirksomhed med en kundeliste i et regneark er omfattet.

Men hvad betyder det i praksis? Denne guide gennemgår de 10 vigtigste GDPR-krav, du som dansk virksomhedsejer skal overholde — med lovhenvisninger og konkrete handlinger.

Hvem er omfattet af GDPR?

Kort sagt: Alle. Hvis du indsamler, opbevarer eller bruger oplysninger der kan identificere en person — navn, email, telefonnummer, IP-adresse, CPR-nummer, kundedata — så behandler du persondata.

Det gælder uanset om du har en hjemmeside, sender nyhedsbreve, bruger et CRM-system, eller bare har en kontaktliste i Outlook.

GDPR er en EU-forordning der gælder direkte i Danmark, suppleret af Databeskyttelsesloven. Datatilsynet er den danske tilsynsmyndighed.

De 10 vigtigste GDPR-krav for SMV'er

1. Privatlivspolitik

Du skal have en klar og tilgængelig privatlivspolitik der beskriver:

  • Hvilke persondata du indsamler
  • Hvorfor du indsamler dem (formålet)
  • Hvem du deler data med
  • Hvor længe du opbevarer data
  • Den registreredes rettigheder

Lovhenvisning: GDPR Art. 13-14 — Oplysningspligt ved indsamling af personoplysninger.

Handling: Gennemgå din privatlivspolitik mindst én gang årligt, og opdatér den hver gang din databehandling ændrer sig.

2. Lovligt behandlingsgrundlag

Du skal have et lovligt grundlag for at behandle persondata. De mest relevante for SMV'er er:

  • Samtykke — personen har givet udtrykkelig tilladelse
  • Kontrakt — behandling er nødvendig for at opfylde en aftale
  • Legitim interesse — du har en berettiget interesse der vejer tungere end personens privatliv

Lovhenvisning: GDPR Art. 6 — Lovlig behandling af personoplysninger.

Handling: For hver type persondata du behandler, dokumentér hvilket behandlingsgrundlag du bruger.

3. Databehandleraftaler (DPA)

Hvis du bruger cloud-tjenester, email-marketing, hosting, regnskabssoftware eller andre leverandører der behandler persondata på dine vegne, skal du have en skriftlig databehandleraftale med hver enkelt.

Typiske leverandører der kræver DPA: Mailchimp, Google Workspace, Microsoft 365, Dinero, e-conomic, AWS, dit webhotel.

Lovhenvisning: GDPR Art. 28 — Databehandler.

Handling: Lav en liste over alle leverandører der behandler persondata. Tjek om du har en DPA med hver. De fleste store leverandører har en standard DPA du kan acceptere online.

4. Fortegnelse over behandlingsaktiviteter

Du skal kunne dokumentere hvilke persondata du behandler, hvorfor, og med hvilket grundlag. Det kaldes en "fortegnelse over behandlingsaktiviteter" eller et ROPA-dokument (Record of Processing Activities).

Kravet gælder formelt for virksomheder med over 250 ansatte, men i praksis anbefales det for alle — og Datatilsynet kan bede om det uanset størrelse.

Lovhenvisning: GDPR Art. 30 — Fortegnelser over behandlingsaktiviteter.

Handling: Opret et simpelt regneark med kolonner for: datatype, formål, behandlingsgrundlag, datakategorier, modtagere, slettefrist.

5. Cookie-consent

Hvis din hjemmeside bruger cookies (og det gør den næsten helt sikkert — via Google Analytics, Facebook Pixel, chatbots osv.), skal du have et lovligt cookie-banner.

Det betyder:

  • Brugeren skal aktivt vælge at acceptere ikke-nødvendige cookies
  • "Acceptér alle"-knap er OK, men der skal også være en "Afvis"-mulighed
  • Teknisk nødvendige cookies (session, login) kræver ikke samtykke

Lovhenvisning: Cookiebekendtgørelsen + ePrivacy-direktivet.

Handling: Brug en cookie-consent-løsning som Cookiebot, CookieYes eller lignende. Sørg for at scripts først indlæses efter samtykke.

6. Ret til indsigt

Alle personer har ret til at få oplyst om du behandler deres data, og i givet fald hvilke data, hvorfor, og hvem du deler dem med. Du skal besvare en indsigtsanmodning inden 30 dage.

Lovhenvisning: GDPR Art. 15 — Den registreredes ret til indsigt.

Handling: Hav en procedure klar til at håndtere indsigtsanmodninger. Vær sikker på at du kan finde alle data relateret til en person.

7. Ret til sletning ("retten til at blive glemt")

Registrerede kan bede om at få deres data slettet, medmindre du har en lovlig grund til at beholde dem (f.eks. bogføringslovens krav om 5 års opbevaring).

Lovhenvisning: GDPR Art. 17 — Ret til sletning.

Handling: Sørg for at du kan slette persondata fra alle systemer — CRM, email-lister, backup. Husk at dokumentere hvornår du sletter.

8. Databeskyttelse by design

Når du udvikler nye produkter, tjenester eller processer, skal du tænke databeskyttelse ind fra starten. Det betyder bl.a. at du kun indsamler de data du faktisk har brug for (dataminimering).

Lovhenvisning: GDPR Art. 25 — Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.

Handling: Ved nye projekter: spørg "hvilke persondata har vi brug for?" i stedet for "hvilke persondata kan vi indsamle?".

9. Sikkerhedsforanstaltninger

Du skal beskytte persondata med passende tekniske og organisatoriske foranstaltninger. Det behøver ikke være kompliceret for en SMV:

  • Stærke passwords + to-faktor-autentificering
  • Kryptering af følsomme data
  • Adgangskontrol (kun relevante medarbejdere har adgang)
  • Backup-rutiner
  • Opdateret software

Lovhenvisning: GDPR Art. 32 — Behandlingssikkerhed.

Handling: Gennemgå jeres IT-sikkerhed. Brug to-faktor på alle forretningskritiske systemer.

10. Brudnotifikation

Hvis der sker et databrud (data lækkes, slettes eller tilgås uautoriseret), skal du:

  1. Vurdere risikoen for de registrerede
  2. Anmelde bruddet til Datatilsynet inden 72 timer (hvis der er risiko for rettigheder)
  3. Underrette de berørte personer (hvis der er høj risiko)

Lovhenvisning: GDPR Art. 33-34 — Anmeldelse af brud + underretning af registrerede.

Handling: Hav en beredskabsplan: Hvem kontaktes? Hvem anmelder? Hvor hurtigt kan I reagere?

Hvad koster det at ignorere GDPR?

Datatilsynet kan udstede bøder på op til 4% af den årlige globale omsætning eller 20 millioner EUR — afhængigt af hvad der er højest.

For de fleste SMV'er handler det dog mere om:

  • At undgå klager fra kunder og medarbejdere
  • At bevare tillid og troværdighed
  • At undgå dyre retssager

Næste skridt

GDPR-compliance behøver ikke være overvældende. Start med de 10 punkter ovenfor, og tag dem ét ad gangen. Det vigtigste er at komme i gang.

Vil du vide, hvor din virksomhed står? Retsklar kan give dig et komplet overblik over din GDPR-compliance — og alle andre juridiske områder — på under 10 minutter.

Test din virksomhed gratis

Find ud af om din virksomhed overholder reglerne — det tager kun 5 minutter

Start gratis helbredstjek →