GDPR compliance checklist til website-ejere: alt det, du skal have styr på

GDPR (General Data Protection Regulation) er stadig en af verdens mest omfattende regler for databeskyttelse. Driver du en lille blog, en WooCommerce-shop eller en SaaS—og behandler du personoplysninger om EU-borgere—så er GDPR-compliance ikke valgfrit.

Konsekvenserne ved manglende compliance kan være alvorlige: bøder på op til €20 millioner eller 4% af din globale årlige omsætning (alt efter hvad der er højest). Derfor giver det mening at arbejde med GDPR som et konkret sæt processer, dokumentation og tekniske kontroller—noter i et Word-dokument.

Nedenfor får du en komplet GDPR compliance checklist (inkl. artiklereferencer), plus praktiske implementeringstrin og WordPress-specifikke ting, du typisk skal tage stilling til som website-ejer.

Hvad er GDPR?

GDPR (General Data Protection Regulation) er en EU-forordning, der har været håndhævet siden 25. maj 2018. Den fastsætter klare regler for, hvordan organisationer må indsamle, bruge, opbevare og dele personoplysninger.

Reglerne gælder ikke kun virksomheder i EU. Hvis din virksomhed er etableret uden for EU, men behandler personoplysninger om EU-borgere, kan GDPR stadig være relevant.

Forstå din rolle: Data Controller, Data Processor og Data Subject

Før du kan lave en meningsfuld tjekliste, skal du vide, hvilken rolle du har i GDPR-sammenhæng:

• Data Controller: Organisationen der bestemmer hvorfor og hvordan personoplysninger behandles. Controlleren har det primære ansvar for GDPR-compliance.
• Data Processor: En tredjepart der behandler personoplysninger på vegne af en controller. Processoren skal også have passende tekniske og organisatoriske sikkerhedsforanstaltninger.
• Data Subject: Den person, som oplysningerne handler om. GDPR er lavet for at beskytte deres rettigheder.

Det er helt normalt at have begge roller på samme tid. Eksempel: Du er controller for dit eget website, men processor hvis du behandler data for en kunde i et drift- eller udviklingssetup.

De 7 GDPR-principper (grundlaget for alt det praktiske)

Før vi går ned i punkter og processer, giver det mening at have de 7 grundprincipper på rygraden:

1. Lovlighed, rimelighed og gennemsigtighed: Behandl data lovligt og forklar tydeligt, hvordan data bruges.
2. Formålsbegrænsning: Indsaml kun til specifikke og legitime formål.
3. Dataminimering: Indsaml kun det minimum, du faktisk har behov for.
4. Korrekthed: Hold data korrekte og opdaterede.
5. Opbevaringsbegrænsning: Gem ikke data længere end nødvendigt.
6. Integritet og fortrolighed: Beskyt data mod uautoriseret adgang via passende sikkerhed.
7. Ansvarlighed: Du skal kunne dokumentere, at du overholder reglerne.

Komplet GDPR compliance checklist (med artiklereferencer)

Data

Du har en liste over alle typer personoplysninger, du har, hvor de kommer fra, hvem du deler dem med, hvad du bruger dem til og hvor længe du gemmer dem

Gælder for: Data Controller, Data Processor

Det her er en praktisk opgørelse over de faktiske datatyper (tænk kolonner/felter) du ligger inde med, fx navn, CPR-nummer, adresse. For hver type bør du dokumentere kilde (hvordan du får data), deling (hvem der modtager det), formål (hvorfor du har det), og retention (hvor længe du gemmer det).

Reference: GDPR Article 30 – Records of processing activities

Du har en liste over alle steder, hvor personoplysninger opbevares – og hvordan data flyder imellem dem

Gælder for: Data Controller, Data Processor

Det kan være databaser (fx MySQL), men det kan også være offline opbevaring (papir), filservere, backups, tredjepartsværktøjer osv. Det vigtige er, at du kan beskrive dataflowet: hvor data kommer ind, hvor det lagres, og hvor det sendes videre.

Reference: GDPR Article 30 – Records of processing activities

Du har en offentligt tilgængelig privacy policy, der beskriver alle processer omkring personoplysninger

Gælder for: Data Controller, Data Processor

Din privacy policy bør beskrive alle relevante processer for håndtering af personoplysninger, og den bør indeholde (eller linke til) hvilke typer data du har, og hvor du opbevarer dem.

Reference: GDPR Article 30 – Records of processing activities

Din privacy policy angiver et lovligt grundlag (lawful basis) for, hvorfor du behandler personoplysninger

Gælder for: Data Controller

Du skal beskrive den juridiske begrundelse for behandlingen—fx at behandlingen er nødvendig for at opfylde en kontrakt.

Reference: GDPR Article 6 – Lawfulness of processing

Accountability & management

Du har udpeget en Data Protection Officer (DPO)

Gælder for: Data Controller, Data Processor

En DPO er kun et krav i tre situationer:

1. Behandlingen udføres af en offentlig myndighed eller et offentligt organ, undtagen domstole der handler i deres dømmende funktion
2. Ker­ne­ak­ti­vi­te­ter­ne består af behandlingsaktiviteter, som pga. deres natur, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala
3. Ker­ne­ak­ti­vi­te­ter­ne består af behandling i stor skala af særlige kategorier af oplysninger (følsomme data) efter Article 9 samt personoplysninger om strafbare forhold efter Article 10

Hvis du skal have en DPO, skal personen både kende GDPR-retningslinjer og have indsigt i de interne processer, hvor personoplysninger indgår.

Reference: GDPR Article 37 – Designation of the data protection officer

Du skaber awareness hos beslutningstagere om GDPR-retningslinjer

Gælder for: Data Controller, Data Processor

Sørg for at nøglepersoner og beslutningstagere har opdateret viden om databeskyttelsesreglerne, så “privacy by design” ikke kun bliver et udvikleransvar.

Reference: GDPR Article 25 – Data protection by design and by default

Din tekniske sikkerhed er opdateret

Gælder for: Data Controller, Data Processor

Især for SaaS: brug sikkerhedstjeklister som baseline for, at relevante tekniske foranstaltninger faktisk er implementeret (og vedligeholdt).

Reference: GDPR Article 25 – Data protection by design and by default

Du træner medarbejdere i databeskyttelse

Gælder for: Data Processor

Mange sårbarheder handler om menneskelig faktor. Hvis medarbejdere har adgang til interne systemer, skal de kende risici og typiske angrebsvektorer (fx phishing) og vide, hvordan de håndterer data korrekt.

Reference: GDPR Article 25 – Data protection by design and by default

Du har en liste over sub-processors, og din privacy policy nævner brugen af dem

Gælder for: Data Processor

Hvis du bruger underdatabehandlere (sub-processors), skal dine kunder informeres om det. I praksis betyder det typisk, at de accepterer det via din privacy policy.

Reference: GDPR Article 28 – Processor

Hvis din virksomhed er uden for EU, har du udpeget en repræsentant i EU

Gælder for: Data Controller, Data Processor

Hvis din virksomhed er etableret uden for EU og indsamler data om EU-borgere, skal du udpege en repræsentant i et EU-land. Repræsentanten skal kunne håndtere spørgsmål om behandlingen, og lokale myndigheder skal kunne kontakte vedkommende.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

Du indrapporterer databrud til myndighed og berørte personer (data subjects)

Gælder for: Data Controller, Data Processor

Databrud med personoplysninger skal anmeldes til relevant myndighed inden for 72 timer. Du bør beskrive hvilke data der er lækket/tabt, konsekvenserne og hvilke modforanstaltninger du har taget. Medmindre de lækkede data var krypteret, skal du også informere de personer, hvis data er kompromitteret.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

Du har en kontrakt (DPA) med alle databehandlere, som du deler data med

Gælder for: Data Controller

Når du deler data med en processor, skal der være en kontrakt med eksplicitte instruktioner for opbevaring og/eller behandling. Kontrakten skal beskrive emne og varighed, behandlings natur og formål, type personoplysninger og kategorier af registrerede samt controllerens rettigheder og forpligtelser.

Eksempel: en aftale med din hostingudbyder. De samme kontraktkrav gælder, når en processor bruger en sub-processor for at kunne levere behandlingsaktiviteter på vegne af controlleren.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

Nye rettigheder (som dine brugere/kunder kan udøve)

Dine kunder kan nemt anmode om adgang til deres personoplysninger

Gælder for: Data Controller, Data Processor

Du bør have en tydeligt defineret proces til at håndtere indsigtsanmodninger.

Reference: GDPR Article 15 – Right of access by the data subject

Dine kunder kan nemt opdatere egne oplysninger for at holde dem korrekte

Gælder for: Data Controller, Data Processor

Der skal være en mekanisme, så brugeren kan få rettet forkerte oplysninger.

Reference: GDPR Article 16 – Right to rectification

Du sletter automatisk data, når din virksomhed ikke længere har et formål med dem

Gælder for: Data Controller, Data Processor

Automatisér sletning af data, du ikke længere har brug for. Eksempel: slet data for kunder hvor kontrakten ikke er fornyet.

Reference: GDPR Article 5 – Principles relating to processing of personal data

Dine kunder kan nemt anmode om sletning af deres personoplysninger

Gælder for: Data Controller, Data Processor

Du skal kunne håndtere sletningsanmodninger (retten til at blive glemt) gennem en konkret proces.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

Dine kunder kan nemt anmode om, at du stopper behandlingen af deres data

Gælder for: Data Controller, Data Processor

Brugere har ret til at få begrænset, hvordan deres data behandles.

Reference: GDPR Article 18 – Right to restriction of processing

Dine kunder kan nemt anmode om at få udleveret deres data til sig selv eller en tredjepart

Gælder for: Data Controller, Data Processor

Dataportabilitet betyder, at brugeren kan få sine data i et struktureret, almindeligt anvendt og maskinlæsbart format.

Reference: GDPR Article 20 – Right to data portability

Dine kunder kan nemt gøre indsigelse mod profilering eller automatiske afgørelser, der kan påvirke dem

Gælder for: Data Controller

Det er kun relevant, hvis du laver profilering eller anden automatiseret beslutningstagning.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

Samtykke (Consent)

Hvis behandlingen bygger på samtykke, skal samtykket være frivilligt, specifikt, informeret og kunne trækkes tilbage

Gælder for: Data Controller

Hvis dit website indsamler personoplysninger, bør du have et tydeligt synligt link til din privacy policy og få brugeren til at bekræfte vilkår. Samtykke kræver en aktiv handling—afkrydsningsfelter må ikke være forudafkrydsede.

Reference: GDPR Article 7 – Conditions for consent

Din privacy policy skal være skrevet klart og forståeligt

Gælder for: Data Controller

Teksten skal være enkel og tydelig og må ikke skjule hensigten. Hvis den er uklar, kan aftalen i praksis blive underkendt. Tilbyder du services til børn, skal policyen være skrevet så den også er til at forstå for dem.

Reference: GDPR Article 7.2 – Conditions for consent

Det skal være lige så nemt at trække samtykke tilbage, som det var at give det

Gælder for: Data Controller

Withdrawal må ikke være en mørk UX-pattern. Det skal være enkelt og tilgængeligt.

Reference: GDPR Article 7.3 – Conditions for consent

Hvis du behandler børns data, skal du verificere alder og indhente samtykke fra værge

Gælder for: Data Controller

For børn under 16 skal du sikre, at en forælder/værge har givet samtykke. Hvis samtykket gives via dit website, bør du forsøge at sikre, at det faktisk er værgen (og ikke barnet), der har godkendt.

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

Når du opdaterer din privacy policy, informerer du eksisterende kunder

Gælder for: Data Controller

Fx via email om kommende ændringer, hvor du forklarer i simple termer, hvad der er ændret.

Reference: GDPR Article 7 – Conditions for consent

Opfølgning

Du gennemgår løbende policies for ændringer, effekt, ændret datahåndtering og ændringer i forholdene i andre lande, som dine data flyder til

Gælder for: Data Controller

GDPR-compliance er ikke en engangsøvelse. Du skal følge op på best practices og ændringer i både dine egne processer og de jurisdiktioner, data sendes til.

Reference: GDPR Article 25 – Data protection by design and by default

Special cases

Du ved, hvornår du skal lave en DPIA ved højrisiko-behandling (særligt ved følsomme data)

Gælder for: Data Controller

Det her er relevant ved fx behandling i stor skala, profilering og andre aktiviteter med høj risiko for personers rettigheder og frihedsrettigheder. I de situationer skal du lave en Data Protection Impact Assessment (DPIA).

Reference: GDPR Article 35 – Data protection impact assessment

Du overfører kun data uden for EU til lande med et passende beskyttelsesniveau

Gælder for: Data Controller, Data Processor

Hvis du overfører data på tværs af grænser, skal du også oplyse det i din privacy policy. Ved overførsel til lande uden “adequacy” skal du bruge Standard Contractual Clauses (SCCs) eller Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Brugerrettigheder (Data Subject Rights) – det du skal kunne understøtte i praksis

Følgende rettigheder gælder for alle Data Subjects (de personer, hvis data du behandler):

Ret til gennemsigtig information

Controlleren skal tage passende skridt til at give information om behandling i en kortfattet, gennemsigtig, forståelig og let tilgængelig form, med klart og enkelt sprog—særligt hvis informationen er målrettet et barn. Informationen skal gives skriftligt eller på anden måde, inkl. elektronisk hvor relevant.

Reference: GDPR Article 12

Ret til specifik information når data indsamles direkte

Når du indsamler personoplysninger direkte fra den registrerede, skal du som minimum give følgende information:

1. Identitet og kontaktoplysninger på controlleren
2. Kontaktoplysninger på DPO (hvis relevant)
3. Formål med behandlingen og retsgrundlag
4. Legitime interesser (hvis relevant)
5. Modtagere eller kategorier af modtagere af personoplysningerne
6. Information om overførsel til tredjelande

Reference: GDPR Article 13

Ret til specifik information når data ikke indsamles direkte

Hvis du får personoplysninger fra andre kilder end den registrerede, skal du give tilsvarende information, inkl. hvilke kategorier af personoplysninger det drejer sig om, samt kilden til data.

Reference: GDPR Article 14

Ret til indsigt (access)

Den registrerede har ret til at få bekræftet, om du behandler personoplysninger om vedkommende, og få adgang til bl.a.:

• Formål med behandlingen
• Kategorier af personoplysninger
• Modtagere som data er eller vil blive videregivet til
• Forventet opbevaringsperiode
• Eksistens af rettigheder til berigtigelse, sletning, begrænsning og indsigelse
• Ret til at klage til en tilsynsmyndighed
• Oplysning om datakilde (hvis data ikke er indsamlet fra den registrerede)
• Eksistens af automatiseret beslutningstagning, inkl. profilering

Reference: GDPR Article 15

Ret til berigtigelse (rectification)

Den registrerede kan kræve forkerte oplysninger rettet uden unødig forsinkelse, og ufuldstændige data suppleret.

Reference: GDPR Article 16

Ret til sletning (“right to be forgotten”)

Den registrerede kan kræve sletning af personoplysninger når:

1. Data ikke længere er nødvendige til det oprindelige formål
2. Samtykke trækkes tilbage, og der ikke findes andet retsgrundlag
3. Der gøres indsigelse, og der ikke findes tungtvejende legitime grunde
4. Data er blevet behandlet ulovligt
5. Data skal slettes for at overholde en retlig forpligtelse
6. Data blev indsamlet i forbindelse med informationssamfundstjenester tilbudt til et barn

Reference: GDPR Article 17

Ret til begrænsning af behandling

Den registrerede kan kræve begrænsning af behandling når:

1. Vedkommende bestrider korrektheden af data (i en periode hvor korrekthed verificeres)
2. Behandlingen er ulovlig, og den registrerede modsætter sig sletning
3. Controlleren ikke længere har brug for data, men den registrerede har brug for dem til retskrav
4. Den registrerede har gjort indsigelse, mens der afventes verificering af legitime grunde

Reference: GDPR Article 18

Ret til at blive underrettet ved berigtigelse, sletning eller begrænsning

Controlleren skal kommunikere enhver berigtigelse, sletning eller begrænsning af behandling til hver modtager, som data er blevet videregivet til, medmindre det er umuligt eller kræver uforholdsmæssig stor indsats.

Reference: GDPR Article 19

Ret til dataportabilitet

Den registrerede har ret til at modtage sine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format, og ret til at overføre dem til en anden controller uden hindring.

Reference: GDPR Article 20

Ret til indsigelse

Den registrerede kan gøre indsigelse mod behandling baseret på legitime interesser eller offentlig interesse—inkl. profilering—af grunde, der relaterer til vedkommendes særlige situation.

Reference: GDPR Article 21

Ret til ikke at være underlagt automatiske afgørelser

Den registrerede har ret til ikke at være underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling (inkl. profilering), hvis afgørelsen har retlige virkninger eller på tilsvarende vis påvirker vedkommende væsentligt.

Reference: GDPR Article 22

Praktiske implementeringstrin (det du faktisk kan gøre på dit website)

1) Sikr dit website

GDPR handler også om sikkerhed i praksis. En god baseline er at få følgende på plads:

• Installér et SSL-certifikat (HTTPS), så data krypteres mellem browser og server
• Brug stærke passwords til alle admin-konti
• Tilføj ekstra beskyttelse omkring håndtering af betalingsinformation
• Brug en CDN-provider som kan beskytte mod DDoS-angreb
• Deploy anti-virus software for at forebygge uautoriseret adgang
• Minimér dataindsamling—indsaml kun det nødvendige
• Pseudonymisér eller anonymisér personoplysninger før lagring, hvor det er muligt
• Tag backups flere steder og i sikre lokationer
• Slet data når de ikke længere er nødvendige

2) Tilføj et cookie consent banner (og gør det rigtigt)

Hvis dit website bruger ikke-nødvendige cookies, skal du have eksplicit samtykke, før de aktiveres.

Dit cookie-banner skal kunne følgende:

• Blokere cookies indtil samtykke: Kun nødvendige cookies må loades, indtil brugeren aktivt vælger til
• Bruge enkelt og tydeligt sprog: Forklar hvilke cookies der bruges og hvorfor
• Vise ligeværdige accept/afvis-knapper: Afvis må ikke skjules
• Give granulære valg: Brugeren skal kunne vælge cookie-kategorier separat
• Muliggøre tilbagetrækning af samtykke: Der skal være en nem måde at ændre valg senere
• Registrere samtykke: Gem valg med timestamps, så du kan dokumentere compliance

3) Gennemgå dine webformularer

Alle formularer, der indsamler personoplysninger, skal være GDPR-compliant. Typisk betyder det:

• Tilføj en privacy statement der forklarer hvorfor du skal bruge data
• Tilføj et ikke-forudafkrydset checkbox til samtykke
• Lav en separat opt-in til marketingkommunikation
• Link til din Privacy Policy
• Brug klart, simpelt sprog

4) Indhent samtykke til marketing emails

Email-marketing kræver, at du er disciplineret med samtykke og dokumentation:

• Kun klar opt-in: Ikke-forudafkrydset checkbox specifikt til email-samtykke
• Implementér double opt-in: Bekræft tilmelding via email
• Bevar samtykkelog: Log dato, tid, metode og formål
• Synligt unsubscribe-link: One-click afmelding i hver email
• Håndtér afmeldinger hurtigt: Helst inden for 24 timer

5) Forbered dig på databrud

Databrud er ikke kun et “hvis”, men ofte et “hvornår”. Sørg for at kunne:

• Anmelde til tilsynsmyndighed inden for 72 timer
• Underrette berørte brugere hvis der er høj risiko for deres rettigheder
• Dokumentere alt af hensyn til ansvarlighed
• Opdatere policies og tekniske foranstaltninger for at forebygge gentagelser

WordPress-specifikke overvejelser

Hvis du kører WordPress, kommer der nogle meget konkrete “klassiske” GDPR-arbejdsopgaver oveni:

• Hold WordPress core, themes og plugins opdateret
• Brug GDPR-compliant contact form plugins (med consent checkboxes)
• Installér en ordentlig cookie consent-løsning
• Brug en GDPR-compliant analytics-løsning
• Gennemgå plugins’ praksis for dataindsamling
• Implementér funktionalitet til eksport/sletning af brugerdata

GDPR-bøder og øvrige sanktioner

GDPR opererer med to bødeniveauer:

• Lavere niveau: Op til €10 millioner eller 2% af global årlig omsætning
• Højere niveau: Op til €20 millioner eller 4% af global årlig omsætning

Ud over bøder kan myndigheder også udstede advarsler, forbyde behandling midlertidigt eller permanent, pålægge sletning af data og begrænse dataoverførsler.

FAQ

Hvad er en GDPR compliance checklist?

En GDPR compliance checklist er en liste over konkrete handlinger, du skal gennemføre for at leve op til GDPR. Den hjælper med at finde huller i dine processer, din dokumentation og din tekniske håndtering af personoplysninger.

Hvem er ansvarlig for GDPR-compliance?

Data controlleren (typisk website- eller virksomhedsejeren) har det primære ansvar. Data processors har dog også selvstændige compliance-forpligtelser.

Gælder GDPR for amerikanske virksomheder?

Ja—hvis virksomheden behandler personoplysninger om EU-borgere, uanset hvor virksomheden er etableret.

Hvad er den maksimale straf for manglende compliance?

Op til €20 millioner eller 4% af den årlige globale omsætning, alt efter hvad der er højest.

Skal jeg have et cookie-banner?

Ja, hvis dit website bruger ikke-nødvendige cookies og du har besøgende fra EU.

Skal jeg have en Data Protection Officer (DPO)?

Kun hvis: (1) du er en offentlig myndighed/et offentligt organ, (2) dine kerneaktiviteter kræver stor-skala, regelmæssig og systematisk monitorering af personer, eller (3) du behandler følsomme data i stor skala.