·
25. marts 2026
Dette indhold indeholder affiliate- eller reklamelinks. Hvis du klikker på et link og gennemfører et køb, kan vi modtage en kommission. Det påvirker ikke den pris, du betaler. Bemærk, at vi ikke viser alle udbydere på markedet.
GDPR hjemmeside er et emne, der berører alle, der driver en hjemmeside med besøgende fra EU. Forordningen om databeskyttelse, General Data Protection Regulation, trådte i kraft i maj 2018 og stiller konkrete krav til, hvordan du indsamler, opbevarer og behandler personoplysninger. Overholder du ikke reglerne, risikerer du bøder, der i alvorlige tilfælde kan nå op i millioner af euro.
Denne artikel gennemgår præcist, hvad GDPR kræver af din hjemmeside, hvilke elementer du skal have på plads, og hvordan du undgår de mest almindelige fejl.
Hvad er GDPR, og hvem er omfattet?
GDPR er en EU-forordning, der regulerer behandlingen af personoplysninger om fysiske personer. En personoplysning er enhver information, der kan identificere en person direkte eller indirekte. Det gælder navn, e-mailadresse, IP-adresse, cookie-ID og meget mere.
Du er omfattet af GDPR, hvis du driver en hjemmeside der retter sig mod eller behandler oplysninger om personer i EU. Det gælder uanset om du er en enkeltmandsvirksomhed, en forening eller et større selskab. Geografisk placering af din server er irrelevant for, om forordningen gælder.
Hvornår behandler du personoplysninger?
Du behandler personoplysninger, så snart din hjemmeside gør et eller flere af følgende:
- Indsamler e-mailadresser via kontaktformularer eller nyhedsbrevsformularer
- Anvender analyseredskaber som Google Analytics, der logger IP-adresser og adfærd
- Sætter cookies, der kan identificere en bruger over tid
- Driver en webshop, der modtager navn, adresse og betalingsoplysninger
- Anvender chat-funktioner, kommentarfelter eller brugerlogin
Selv en simpel hjemmeside med et kontaktformular og Google Analytics behandler personoplysninger og er dermed underlagt GDPR.
De syv grundprincipper i GDPR
GDPR bygger på syv principper, som al behandling af personoplysninger skal leve op til. Det er ikke nok at have en privatlivspolitik på hjemmesiden, hvis den faktiske behandling ikke følger disse principper.
| Princip | Hvad det betyder i praksis |
|---|---|
| Lovlighed, rimelighed og gennemsigtighed | Du skal have et lovligt grundlag for at behandle data og informere brugeren klart herom |
| Formålsbegrænsning | Data må kun indsamles til et specifikt, eksplicit og legitimt formål |
| Dataminimering | Du må kun indsamle de oplysninger, der er nødvendige for formålet |
| Rigtighed | Oplysninger skal være korrekte og opdaterede |
| Opbevaringsbegrænsning | Data må ikke opbevares længere end nødvendigt |
| Integritet og fortrolighed | Data skal beskyttes mod uautoriseret adgang og tab |
| Ansvarlighed | Du skal kunne dokumentere, at du overholder forordningen |
Behandlingsgrundlag: Hvornår må du behandle data?
Du skal altid have et lovligt grundlag for at behandle personoplysninger. GDPR definerer seks mulige grundlag, men i praksis er det primært tre, der er relevante for hjemmesideejere.
Samtykke
Samtykke er det mest anvendte grundlag for hjemmesider. Det kræver, at brugeren aktivt og frivilligt giver tilladelse til en specifik behandling, inden den finder sted. Et forudafkrydset felt eller en generel accept af vilkår er ikke gyldigt samtykke. Samtykket skal være dokumenterbart, og brugeren skal til enhver tid kunne trække det tilbage.
Kontrakt
Hvis du driver en webshop og behandler en kundes navn og adresse for at gennemføre et køb, er behandlingsgrundlaget opfyldelse af en kontrakt. Her kræves intet separat samtykke, da behandlingen er nødvendig for at levere det, kunden har bestilt.
Legitim interesse
Legitim interesse kan bruges, når din behandling er nødvendig for et formål, der ikke tilsidesætter den registreredes rettigheder. Det kræver en konkret afvejning, og det er dit ansvar at dokumentere denne vurdering. Grundlaget bruges ofte til intern analyse og sikkerhedsformål, men bør ikke bruges som en nem vej uden om samtykke.
Privatlivspolitik: Hvad skal den indeholde?
En privatlivspolitik er et lovkrav, ikke en anbefaling. Den skal være tilgængelig på din hjemmeside og skrevet i et klart og forståeligt sprog. Juridisk jargon og lange, uoverskuelige afsnit opfylder ikke kravet om gennemsigtighed.
Din privatlivspolitik skal som minimum indeholde:
- Hvem der er dataansvarlig (navn, adresse, CVR-nummer og kontaktoplysninger)
- Hvilke kategorier af personoplysninger du indsamler
- Formålet med indsamlingen og det juridiske grundlag
- Hvor længe oplysningerne opbevares
- Om oplysninger videregives til tredjeparter, og i givet fald hvem
- Om data overføres til lande uden for EU/EØS
- De registreredes rettigheder (indsigt, berigtigelse, sletning, dataportabilitet mv.)
- Retten til at klage til Datatilsynet
Privatlivspolitikken skal linkes tydeligt fra alle steder på hjemmesiden, hvor der indsamles data. Det gælder kontaktformularer, tilmeldingsformularer og checkout-sider.
Cookie-regler og samtykkebanner
Cookies er et af de mest synlige GDPR-elementer på en hjemmeside. Reglerne for cookies i Danmark er reguleret af cookiebekendtgørelsen, der supplerer GDPR. Udgangspunktet er, at ikke-nødvendige cookies kræver aktivt samtykke, inden de sættes.
Cookies opdeles typisk i fire kategorier:
| Kategori | Eksempler | Kræver samtykke? |
|---|---|---|
| Nødvendige | Session-cookies, login-cookies, kurv-cookies | Nej |
| Funktionelle | Sprogindstillinger, brugerpræferencer | Ja (i de fleste tilfælde) |
| Statistiske | Google Analytics, Matomo | Ja |
| Markedsføring | Facebook Pixel, Google Ads-tracking | Ja |
Et lovligt cookie banner skal præsentere brugeren for et reelt valg. Knappen “Accepter alle” og knappen “Afvis alle” skal have samme visuelle fremtræden. Det er ikke tilladt at designe banneret, så afvisning er sværere end accept.
Teknisk implementering af samtykke
For at overholde reglerne teknisk korrekt skal scripts til statistik og markedsføring ikke indlæses, før brugeren har givet samtykke. Det er ikke tilstrækkeligt at vise et banner, hvis Google Analytics-scriptet allerede er indlæst i sidens kode. Brug en Consent Management Platform (CMP) som Cookiebot, CookieYes eller lignende løsninger, der blokerer scripts, indtil samtykke er givet.
Databehandleraftaler
Når du anvender tredjepartstjenester, der behandler personoplysninger på dine vegne, er du forpligtet til at indgå en databehandleraftale. Det gælder for eksempel din hostingudbyder, dit e-mailmarketingværktøj, din CRM-løsning og dit analyseredskab.
En databehandleraftale fastlægger, at tredjeparten kun behandler data efter dine instrukser, at de har passende sikkerhedsforanstaltninger, og at de sletter eller returnerer data, når samarbejdet ophører. De fleste seriøse udbydere tilbyder standardiserede databehandleraftaler, som du kan acceptere i deres administrationspanel.
Overførsel af data til tredjelande
Bruger du tjenester som Google Analytics, Mailchimp eller Meta Pixel, overføres data til USA. Efter EU-Domstolens Schrems II-afgørelse er sådanne overførsler underlagt skærpede krav. EU og USA indgik i 2023 en ny dataoverførselsaftale, EU-US Data Privacy Framework, som letter overførsler til certificerede amerikanske virksomheder. Du bør verificere, at dine leverandører er certificeret under denne ramme, og oplyse herom i din privatlivspolitik.
Sikkerhed og tekniske foranstaltninger
GDPR kræver, at du implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger. Hvad der er “passende”, afhænger af, hvilke data du behandler, og hvilke risici der er forbundet hermed.
Som minimum bør din hjemmeside have et SSL certifikat, så al kommunikation mellem bruger og server er krypteret. En hjemmeside uden HTTPS er ikke alene et sikkerhedsproblem, men også et signal om manglende overholdelse af GDPR’s krav om integritet og fortrolighed.
Derudover bør du:
- Anvende stærke adgangskoder og to-faktor-autentificering til dit CMS og hosting
- Holde alle plugins, temaer og systemer opdaterede
- Begrænse adgangen til personoplysninger til kun de personer, der har behov herfor
- Tage regelmæssige sikkerhedskopier og teste gendannelsesprocedurer
- Have en procedure for håndtering af databrud
Databrud og notifikationspligt
Opstår der et databrud, det vil sige uautoriseret adgang til, tab af eller ændring af personoplysninger, skal du som udgangspunkt anmelde det til Datatilsynet inden for 72 timer. Hvis bruddet medfører høj risiko for de berørte personers rettigheder, skal du også underrette dem direkte. Manglende anmeldelse er i sig selv en overtrædelse af GDPR.
De registreredes rettigheder
GDPR giver personer, hvis data du behandler, en række rettigheder. Du skal have procedurer på plads til at håndtere disse anmodninger inden for 30 dage.
| Rettighed | Hvad det indebærer |
|---|---|
| Indsigtsret | Personen kan anmode om at se, hvilke oplysninger du har om dem |
| Berigtigelse | Personen kan kræve forkerte oplysninger rettet |
| Sletning (“retten til at blive glemt”) | Personen kan kræve oplysninger slettet under visse betingelser |
| Begrænsning af behandling | Personen kan kræve, at behandlingen begrænses midlertidigt |
| Dataportabilitet | Personen kan anmode om at modtage sine data i et maskinlæsbart format |
| Indsigelse | Personen kan gøre indsigelse mod behandling baseret på legitim interesse |
GDPR og specifikke hjemmesidetyper
Webshops
En webshop behandler særligt mange personoplysninger: navn, adresse, e-mail, telefonnummer, betalingsdata og ordrehistorik. Hertil kommer ofte betalingsløsninger fra tredjeparter som Stripe, Nets eller PayPal, der alle kræver databehandleraftaler. Opbevaringsperioden for ordreoplysninger skal afvejes mod bogføringsloven, der kræver opbevaring i fem år.
Blogs og medier
Driver du en blog med kommentarfunktion, nyhedsbrev eller brugerregistrering, gælder de samme regler. Mange bloggere overser, at plugins til kommentarer som Disqus eller formularer som Gravity Forms sender data til amerikanske servere og kræver databehandleraftaler.
Foreninger og organisationer
En hjemmeside til forening behandler ofte medlemsoplysninger, som kan inkludere helbredsoplysninger eller politisk tilhørsforhold, der er særlige kategorier af data under GDPR og kræver et forstærket behandlingsgrundlag.
Dokumentation og GDPR-compliance som løbende proces
GDPR-compliance er ikke noget, du sætter op én gang og glemmer. Forordningen kræver, at du løbende dokumenterer din behandling og opdaterer dine procedurer, når din hjemmeside ændrer sig. Indfører du et nyt analyseredskab, et chatbot-plugin eller en ny e-mailplatform, skal du vurdere GDPR-konsekvenserne, inden du tager det i brug.
Virksomheder med mere end 250 ansatte er forpligtet til at føre en fortegnelse over behandlingsaktiviteter. Mindre virksomheder anbefales stærkt at gøre det samme, da det letter dokumentationen ved en eventuel tilsynssag fra Datatilsynet. Fortegnelsen skal beskrive, hvilke data du behandler, til hvilke formål, med hvilke grundlag og i hvilke systemer.
Hvad koster det at ignorere GDPR?
Datatilsynet kan udstede bøder på op til 20 millioner euro eller 4 procent af den globale årsomsætning, alt efter hvad der er højest. I praksis er de største bøder i Danmark givet til større virksomheder, men Datatilsynet har også sanktioneret mindre aktører. Udover bøder kan overtrædelser medføre påbud om at stoppe behandlingen, hvilket i praksis kan betyde, at du ikke må indsamle e-mails eller bruge analyseredskaber, indtil forholdet er bragt i orden.
Datatilsynet modtager løbende klager fra borgere og gennemfører egne tilsynssager. Risikoen for at blive kontrolleret er reel, og konsekvenserne rækker ud over bøder til omdømmeskade og tab af kundernes tillid. At investere tid i korrekt GDPR-opsætning er langt billigere end at håndtere efterfølgende.
Praktisk tjekliste til GDPR-compliance på din hjemmeside
Brug nedenstående tjekliste som udgangspunkt for at vurdere din hjemmesides nuværende status. Det er ikke en udtømmende juridisk gennemgang, men dækker de mest kritiske punkter for de fleste hjemmesideejere.
- Privatlivspolitik er publiceret og indeholder alle lovpåkrævede oplysninger
- Cookie-banner er implementeret korrekt med reel mulighed for at afvise ikke-nødvendige cookies
- Ikke-nødvendige scripts indlæses ikke, før samtykke er givet
- Databehandleraftaler er indgået med alle relevante tredjeparter
- SSL-certifikat er aktivt på alle sider
- Kontaktformularer indsamler kun nødvendige oplysninger
- Der er en procedure for håndtering af anmodninger om indsigt og sletning
- Der er en procedure for anmeldelse af databrud til Datatilsynet inden for 72 timer
- Adgangskontrol og sikkerhedsopdateringer er på plads
- Fortegnelse over behandlingsaktiviteter er oprettet og opdateret
Ovenstående punkter gælder uanset hvilken platform din hjemmeside er bygget på, hvad enten det er WordPress, Wix, Shopify eller en skræddersyet løsning. Ansvaret for compliance ligger altid hos den dataansvarlige, det vil sige dig som hjemmesideejer.