·
26. marts 2026
Dette indhold indeholder affiliate- eller reklamelinks. Hvis du klikker på et link og gennemfører et køb, kan vi modtage en kommission. Det påvirker ikke den pris, du betaler. Bemærk, at vi ikke viser alle udbydere på markedet.
Sikkerhed og krav til hjemmesider er ikke et emne, man kan tillade sig at ignorere. Uanset om du driver en lille virksomhedshjemmeside, en webshop eller en blog, er der juridiske forpligtelser, tekniske standarder og sikkerhedsmæssige minimumskrav, du skal overholde. Denne artikel gennemgår de vigtigste områder grundigt, så du ved præcis, hvad der forventes af dig som hjemmesideejer i Danmark.
Hvorfor sikkerhed og lovkrav er uadskillelige
Mange opfatter teknisk sikkerhed og juridiske krav som to separate emner. I praksis hænger de tæt sammen. En hjemmeside uden SSL-certifikat er ikke blot usikker for dine besøgende, den sender også et negativt signal til Google og kan potentielt bryde med krav om beskyttelse af personoplysninger.
Lovgivningen stiller krav til, hvordan du behandler data, hvilke oplysninger du oplyser på din hjemmeside, og hvordan du indhenter samtykke fra brugerne. Teknisk sikkerhed er fundamentet, der gør det muligt at efterleve disse krav i praksis.
SSL-certifikat og HTTPS
HTTPS er i dag et basiskrav, ikke en luksus. Når din hjemmeside anvender HTTPS, krypteres al kommunikation mellem brugerens browser og din server. Det betyder, at login-oplysninger, betalingsdata og personlige informationer ikke kan opsnappes af tredjeparter undervejs.
Google har siden 2018 markeret hjemmesider uden HTTPS som “Ikke sikker” i Chrome-browseren. Det påvirker direkte brugernes tillid og din konverteringsrate. Derudover er HTTPS en bekræftet rankingfaktor i Googles søgealgoritme.
Typer af SSL-certifikater
| Type | Validering | Passer til | Pris |
|---|---|---|---|
| DV (Domain Validation) | Kun domæneejerskab | Blogs, personlige sider | Gratis (Let’s Encrypt) |
| OV (Organization Validation) | Domæne + virksomhedsoplysninger | Virksomhedshjemmesider | 500–2.000 kr./år |
| EV (Extended Validation) | Grundig virksomhedsverificering | Banker, større e-handel | 2.000–8.000 kr./år |
| Wildcard SSL | Dækker alle subdomæner | Sider med mange subdomæner | 1.000–5.000 kr./år |
De fleste hostingudbydere tilbyder i dag gratis Let’s Encrypt-certifikater, som fornyes automatisk. For en standard virksomhedshjemmeside er dette fuldt tilstrækkeligt.
GDPR og behandling af personoplysninger
GDPR (General Data Protection Regulation) er EU’s databeskyttelsesforordning, der trådte i kraft i maj 2018. Den gælder for alle hjemmesider, der behandler personoplysninger om EU-borgere, uanset hvor hjemmesiden er hostet.
Som hjemmesideejer er du dataansvarlig. Det betyder, at du har ansvaret for at sikre, at personoplysninger behandles lovligt, gennemsigtigt og med et klart formål. Overtrædelser kan medføre bøder på op til 20 millioner euro eller 4 % af den globale årsomsætning.
Hvad tæller som personoplysninger?
Personoplysninger er enhver information, der kan identificere en fysisk person, direkte eller indirekte. Det inkluderer navne, e-mailadresser, IP-adresser, telefonnumre, lokationsdata og cookies, der kan knyttes til en enkelt bruger.
Dine forpligtelser under GDPR
- Du skal have et retsgrundlag for at behandle personoplysninger (samtykke, kontrakt, legitim interesse mv.).
- Du skal informere brugerne om, hvilke data du indsamler, og hvad de bruges til.
- Brugerne har ret til indsigt, berigtigelse og sletning af deres data.
- Du skal have en opdateret privatlivspolitik på din hjemmeside.
- Databehandleraftaler skal indgås med tredjeparter, der behandler data på dine vegne (fx e-mail-udbydere, analyseværktøjer).
- Sikkerhedsbrud skal anmeldes til Datatilsynet inden for 72 timer, hvis det udgør en risiko for de registrerede.
Læs mere om, hvad GDPR betyder for din hjemmeside, og hvordan du implementerer kravene korrekt.
Cookie-samtykke og cookiepolitik
Cookies er små datafiler, der gemmes i brugerens browser. De bruges til alt fra at huske login-status til at spore brugeradfærd på tværs af hjemmesider. Dansk og europæisk lovgivning kræver, at du indhenter aktivt samtykke, inden du sætter ikke-nødvendige cookies.
Et cookie-banner er den tekniske løsning, der viser brugeren en samtykkeanmodning, når de besøger din hjemmeside for første gang. Det er ikke nok blot at informere om cookies, brugeren skal aktivt acceptere dem, inden de sættes.
Krav til et lovligt cookie-banner
- Samtykke skal indhentes, inden ikke-nødvendige cookies sættes.
- Brugeren skal have mulighed for at afvise cookies lige så nemt, som de kan acceptere dem.
- Samtykket skal dokumenteres og gemmes.
- Brugeren skal til enhver tid kunne trække sit samtykke tilbage.
- Forudafkrydsede bokse er ikke tilladt.
Kategorier af cookies
| Kategori | Eksempel | Kræver samtykke? |
|---|---|---|
| Nødvendige cookies | Session-ID, login-status | Nej |
| Præferencecookies | Sprogvalg, visningsindstillinger | Ja |
| Statistikcookies | Google Analytics | Ja |
| Markedsføringscookies | Facebook Pixel, Google Ads | Ja |
Webtilgængelighed og WCAG-krav
Webtilgængelighed handler om at sikre, at alle mennesker, herunder personer med funktionsnedsættelser, kan bruge din hjemmeside. Fra september 2025 trødte EU’s tilgængelighedsdirektiv (European Accessibility Act) i kraft for private virksomheder, der udbyder digitale tjenester til forbrugere.
WCAG (Web Content Accessibility Guidelines) er den internationale standard for webtilgængelighed. Den er opbygget omkring fire principper: hjemmesiden skal være opfattelig, anvendelig, forståelig og robust. Webtilgængelighed er ikke kun et juridisk krav, det udvider også din potentielle brugergruppe markant.
Praktiske WCAG-krav du bør kende
- Alle billeder skal have beskrivende alt-tekster.
- Tilstrækkelig farvekontrast mellem tekst og baggrund (minimum 4,5:1 for normal tekst).
- Hjemmesiden skal kunne betjenes udelukkende med tastatur.
- Videoer skal have undertekster.
- Formularer skal have tydeligt mærkede felter og fejlbeskeder.
- Siden skal fungere korrekt med skærmlæsere.
Teknisk sikkerhed af hjemmesiden
Udover de juridiske krav er der en række tekniske sikkerhedsforanstaltninger, der er afgørende for at beskytte din hjemmeside mod angreb, datatab og nedbrud. En sikker hjemmeside kræver løbende vedligeholdelse, ikke blot en engangsopsætning.
De mest almindelige trusler
| Trussel | Beskrivelse | Forebyggelse |
|---|---|---|
| Brute force-angreb | Automatiserede forsøg på at gætte adgangskoder | Stærke adgangskoder, to-faktor-godkendelse, login-begrænsning |
| SQL-injektion | Ondsindet kode injiceres via formularer | Validering af input, brug af parameteriserede forespørgsler |
| Cross-Site Scripting (XSS) | Skadelige scripts køres i brugerens browser | Output-escaping, Content Security Policy |
| DDoS-angreb | Overbelastning af serveren med trafik | CDN, firewall, DDoS-beskyttelse hos hostingudbyder |
| Forældet software | Kendte sikkerhedshuller i plugins og CMS | Regelmæssige opdateringer, automatisk opdatering |
| Malware | Skadelig kode injiceret på serveren | Malware-scanning, sikker hosting, stærke adgangskoder |
Konkrete sikkerhedstiltag
Opdater altid dit CMS, dine temaer og plugins, så snart nye versioner er tilgængelige. Forældet software er den hyppigste årsag til, at hjemmesider bliver kompromitteret. Brug en adgangskodeadministrator til at generere og opbevare stærke, unikke adgangskoder til alle konti.
Aktiver to-faktor-godkendelse (2FA) på dit administrationspanel. Det tilføjer et ekstra lag beskyttelse, selv hvis din adgangskode skulle blive kompromitteret. De fleste moderne CMS-platforme understøtter 2FA via apps som Google Authenticator eller Authy.
Sørg for regelmæssige sikkerhedskopier af både filer og database. Backup bør gemmes på en ekstern lokation, adskilt fra din primære server. Test dine backups jævnligt for at sikre, at de faktisk kan gendannes.
Lovpligtige oplysninger på din hjemmeside
Dansk lovgivning stiller krav til, hvilke oplysninger der skal fremgå af din hjemmeside. E-handelsloven og markedsføringsloven specificerer, at erhvervsdrivende skal oplyse en række basale informationer tydeligt og tilgængeligt.
Obligatoriske oplysninger for erhvervsdrivende
- Virksomhedens fulde navn og CVR-nummer.
- Fysisk adresse (ikke blot en postboks).
- Kontaktoplysninger, herunder e-mailadresse.
- Eventuel tilknytning til en godkendt klageinstans.
- Priser inkl. moms og eventuelle leveringsomkostninger ved salg til forbrugere.
- Fortrydelsesret ved fjernsalg (14 dages fortrydelsesret).
Disse oplysninger skal typisk fremgå af en “Om os”- eller “Kontakt”-side samt i handelsbetingelserne, hvis du driver en webshop.
Hosting og serverplacering
Valget af hostingudbyder har direkte indflydelse på din hjemmesides sikkerhed. Servere beliggende inden for EU er underlagt GDPR, hvilket forenkler din compliance-situation betydeligt. Vælger du en udbyder med servere i USA, skal du sikre, at der er indgået passende overførselsmekanismer for personoplysninger.
En dedikeret IP-adresse kan i visse tilfælde forbedre din hjemmesides sikkerhed og omdømme, da du ikke deler IP med andre hjemmesider, der potentielt kan være sortlistet for spam eller misbrug.
Hvad du bør kræve af din hostingudbyder
- Automatisk SSL-certifikat inkluderet.
- Daglige automatiske sikkerhedskopier.
- Firewall og DDoS-beskyttelse.
- Malware-scanning og -fjernelse.
- Opdaterede serverversioner (PHP, MySQL mv.).
- Databehandleraftale i overensstemmelse med GDPR.
- Servere placeret i EU.
Privatlivspolitik og handelsbetingelser
En privatlivspolitik er juridisk påkrævet, hvis du indsamler personoplysninger, og det gør de fleste hjemmesider, allerede ved brug af Google Analytics eller et kontaktformular. Politikken skal beskrive, hvilke data du indsamler, formålet med indsamlingen, hvem data deles med, og hvordan brugerne kan udøve deres rettigheder.
Handelsbetingelser er ikke lovpligtige i sig selv, men er stærkt anbefalede for enhver, der sælger produkter eller ydelser online. De definerer vilkårene for købet og beskytter begge parter i tilfælde af uenigheder. Betingelserne bør som minimum dække levering, betaling, fortrydelsesret, reklamationsret og tvistløsning.
Sikkerhed ved formularer og brugerinput
Alle formularer på din hjemmeside, hvad enten det er kontaktformularer, tilmeldingsformularer eller betalingsformularer, er potentielle angrebspunkter. Validering af brugerinput er afgørende for at forhindre injektionsangreb og misbrug.
Implementér CAPTCHA eller lignende mekanismer på formularer for at forhindre automatiserede spam-indsendelser. Sørg for, at formularer, der håndterer følsomme oplysninger, altid sendes via HTTPS, og at data ikke gemmes unødvendigt længe.
Sikkerhedstjekliste for formularer
- Validér alle inputfelter på serversiden, ikke kun i browseren.
- Begræns antallet af indsendelser per IP-adresse per tidsenhed.
- Brug CAPTCHA eller honeypot-teknikker mod bots.
- Send aldrig adgangskoder i klartekst via e-mail.
- Gem kun de data, der er nødvendige for formålet.
Løbende sikkerhedsovervågning
Sikkerhed er ikke en engangsopgave. Trusselsbilledet ændrer sig konstant, og nye sårbarheder opdages løbende i populære CMS-platforme og plugins. Opsæt automatiske advarsler, der notificerer dig, hvis din hjemmeside går ned, eller hvis der registreres usædvanlig aktivitet.
Overvej at anvende et webapplikationsfirewall (WAF), som filtrerer ondsindet trafik, inden den når din server. Tjenester som Cloudflare tilbyder gratis grundlæggende WAF-beskyttelse kombineret med CDN-funktionalitet, der også forbedrer din hjemmesidehastighed.
Gennemfør en sikkerhedsrevision af din hjemmeside mindst én gang om året. Det indebærer at gennemgå brugerkonti og adgangsniveauer, fjerne ubrugte plugins og temaer, verificere at alle certifikater er gyldige og opdaterede, samt kontrollere at dine backups fungerer korrekt.