GDPR (General Data Protection Regulation) er et sæt reguleringer, der blev vedtaget af Europa-Parlamentet i 2016 og implementeret i hele EU i 2018. GDPR-lovgivningens funktion er at beskytte private borgeres privatliv og sikkerhed ved at regulere virksomheders og institutioners adgang, brug og opbevaring af digitalt opbevarede personoplysninger.
Men det kan være en ren jungle at forstå GDPR-lovgivningen og sikre compliance.
Har du brug for hjælp til GDPR?
Alt, du har brug for at vide, bliver her forklaret kort og kontant i den alfabetiske guide til GDPR.
Almindelige personoplysninger består af almindelige, basale informationer om en identificeret eller identificerbar, fysisk person. Det gælder også, selvom identifikationen af personen kun kan ske ved kombination af flere oplysninger.
Personoplysninger er ofte indsamlet gennem tilmelding til et nyhedsbrev, et onlinekøb eller lignende.
Et par eksempler:
Personoplysninger inddeles i tre kategorier: almindelige, fortrolige og følsomme.
Artikel 30 i databeskyttelsesforordningen er hele grundlaget for arbejdet med GPDR. Forordningen blev indført i 2018, og den står som den primære europæiske lovgivning på området om behandling af personoplysninger.
Enhver enhed, der har et CVR-nummer, skal udarbejde en fortegnelse ifølge Artikel 30’s retningslinjer.
Fortegnelsen er et krav fra GDPR-lovgivningen samt Datatilsynet.
Behandling er en bred term, der indikerer, at når personoplysninger behandles, skal det blot forstås, at der sker en forandring i forholdet mellem personoplysninger og fortegnelsen.
F.eks. behandles oplysninger, når man indsamler, registrerer, bruger, opbevarer, videregiver og sletter personlige informationer.
Behandlingsgrundlaget er din begrundelse, dit fundament, for at måtte behandle personoplysninger. Behandling af personoplysninger må kun ske, hvis man har et lovligt behandlingsgrundlag. Der er generelt et gyldigt behandlingsgrundlag, hvis mindst ét af følgende forhold gør sig gældende:
En længere uddybning kan findes i GDPR, artikel 6, stk. 1.
Under behandlingen af følsomme personoplysninger er en ekstra begrundelse nødvendig. Man skal derfor også identificere en undtagelse såsom:
Et brud på persondatasikkerheden opstår, når personoplysninger bliver offentliggjort, delt med uvedkommende, videregivet eller på anden vis gjort tilgængelig for uvedkommende personer. Dette kan udløse juridiske konsekvenser og/eller bøder.
Compliance er et låneord fra engelsk, der i GDPRs tilfælde betyder overholdelse af regler eller efterlevelse af de retningslinjer, som den enkelte virksomhed har indført.
En del virksomheder (f.eks. pengeinstitutterne i Danmark) havde retningslinjer, som de allerede var compliant med. Da GDPR blev indført, blev de allerede etablerede compliance-regler selvfølgelig ændret, så de passede med Artikel 30.
Derfor kan ordet “compliance” i nogle tilfælde anvendes som et artefakt fra tiden, før GDPR-lovgivningen blev indført.
Internetcookies er små bidder af tekstdata, der downloades til computeren, når man f.eks. besøger en webshop. De bruges til at identificere din computer og dit netværk, så der er en konsekvent idé om, hvad der udgør brugeren på internettet.
Når brugeren derefter besøger en ny hjemmeside, kan den hjemmeside kigge på de cookies, som brugeren har på sin computer og derved anvende dem igennem besøget.
Cookies bruges ofte som redskab til at specialisere reklamer og annoncer på internettet til mulige kunder. De cookies, altså oplysninger, der kan blive gemt inkluderer:
Når cookies anvendes, skal de følge en serie af retningslinjer, der ikke bare sørger for kun at få de rigtige personoplysninger, men også informerer brugeren om hvilke personoplysninger de opgiver.
CPR-numre anses som en fortrolig personoplysning.
Personnumre må ikke offentliggøres jf. databeskyttelsesloven § 11.
Fortrolige oplysninger er underlagt særlige krav, og sådanne oplysninger må f.eks. kun sendes via e-mail, hvis der anvendes kryptering.
En databehandler er en virksomhed eller en myndighed, der behandler personoplysninger på vegne af en eller flere dataansvarlige. Dvs. den enhed, der samler, opbevarer eller på anden måde behandler data. Databehandleren står blot for behandlingen af data.
En dataansvarlig er en virksomhed eller myndighed, der behandler personoplysninger og afgør, hvilke formål og med hvilke hjælpemidler personoplysningerne må behandles.
Dvs. at den dataansvarlige er den enhed, der træffer valg og afgør, om der er behandlingsgrundlag for at behandle data. Det er denne enhed, der er ansvarlig for at have et sikkert grundlag for databehandling.
En databehandleraftale er en aftale, der skal indgås mellem den dataansvarlige og databehandleren, som skal sikre, at personoplysninger behandles og beskyttes efter gældende lovgivning.
Databehandling er alle handlinger, hvor personoplysninger indgår. Listen over handlinger, der anses som databehandling er nærmest uendelig, men her er et par eksempler.
Den formelle titel på forordningen, der i daglig tale kaldes GDPR. Den blev indført den 25. maj 2018.
Et databrud defineres som et brud på den sikkerhed, der er forventet af den dataansvarlige, og at dette brud har ført til både tilfældig og ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Dvs. hvis en databehandler eller en dataansvarlig har et lager af data, f.eks. passwords eller CPR-numre, og det bliver lækket til offentligheden (eller udenfor databehandleraftalen), så konstituerer det et databrud.
I bund og grund handler et databrud om, at uautoriserede personer har opnået adgang til data, der skulle have været slettet, krypteret eller sikret bedre.
Databrud skal indberettes til Datatilsynet indenfor 72 timer, efter at databruddet er kendt.
Datatilsynet har blandt andet en vejledning til håndtering af databrud.
Der skal også være tid til leg og sjove spil. Derfor er anbefalingen, at I skal prøve Datadysten fra Datatilsynet. På den måde kan I få lidt leg og sjov med ind i arbejdet med at bliver klogere på GDPR. Se Datadysten.
Man må kun indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet samtidigt med, at behandlingen af data skal ske på et egnet grundlag.
Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af hvilke data, der er relevante for at opfylde formålet med indsamlingen.
Den registrerede har ret til at modtage og flytte sine personoplysninger, når følgende to betingelser er opfyldt:
Den samlede vejledning om emnet kan læses i ”Vejledning om de registreredes rettigheder”.
Datasubjektet er den person, som henføres til, og som den enkelte virksomhed har indsamlet data om. Dvs. forbrugeren eller den registrerede.
Datasikkerhed er en generel betegnelse for alle foranstaltninger, man kan foretage for at vogte over data og personoplysninger. Herunder kryptering, sletning af unødvendige data, ændring af passwords, etc.
Datatilsynet er den offentlige tilsynsmyndighed, der fører tilsyn med overholdelse af GDPR. Datatilsynet består af et råd – Datarådet – og et sekretariat. Datarådet træffer afgørelse i konkrete sager af principiel karakter, mens sekretariatet varetager Datatilsynets daglige drift.
En DPIA, også kaldt en konsekvensanalyse, er en proces vedrørende databeskyttelse, der har til formål at beskrive behandlingen af data, vurdere nødvendigheden af behandlingen samt proportionaliteten, og bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder. En DPIA er således en analyse af, hvordan den behandlede data kan have konsekvenser for fysiske menneskers rettigheder. Derfor er en DPIA tæt forbundet med risikovurdering.
Forkortelse for Data Protection Officer (på dansk databeskyttelsesrådgiver). En DPO skal rådgive den dataansvarlige om de databeskyttelsesretlige regler og på bedste vis understøtte god databeskyttelse hos den dataansvarlige.
En DPO er nødvendig i en privat virksomhed, når de tre følgende betingelser er opfyldt:
I det omfang, at behandling foretages af en offentlig myndighed eller et offentligt organ, skal myndigheden eller organet altid have en databeskyttelsesrådgiver, hvad enten de er dataansvarlige eller databehandlere.
I maj 2018 trådte den generelle forordning om databeskyttelse i kraft, og dermed fik alle virksomheder, som opererer i EU, et regelsæt, som de skal følge, uanset hvor i verden de er etableret.
Erhvervsstyrelsen informerer og vejleder om, hvordan man kan overholde loven og fører tilsyn med, at cookiereglerne bliver overholdt.
Dette dokument er det vigtigste i GDPR og alle processer involveret i lovgivningen.
Databeskyttelsesforordningen stiller krav om, at alle dataansvarlige og databehandlere fører interne fortegnelser over deres behandling af personoplysninger.
Fortegnelsen er en liste over behandlingsaktiviteter og mere specifikt de formål, man har med dataoplysningerne, der bliver behandlet.
At danne en fortegnelse er et krav ift. GDPR, og den anses som en forlængelse af databeskyttelsesforordningens øgede fokus på ansvarlighed (“accountability”).
Datatilsynet har blandt andet en uddybet vejledning til udformning af en fortegnelse.
Fortrolige personoplysninger er underlagt særlige krav, og sådanne oplysninger må f.eks. kun sendes via e-mail, hvis der anvendes kryptering. Fortrolige personoplysninger er f.eks. CPR-numre.
Følsomme personoplysninger er særligt personlige oplysninger, som nyder ekstra stærk beskyttelse i GDPR. Det kommer til udtryk i form af flere krav til, hvornår disse personoplysninger må behandles. Følsomme personoplysninger er bl.a.
Disse personoplysninger skal have yderligere begrundelse, før de må behandles.
Forkortelse for General Data Protection Regulation. På dansk kaldes den også Databeskyttelsesforordningen eller Persondataforordningen.
GDPR er som en ansvarsforsikring på en bil: Den skal være der, idet det er lovpligtigt, men man forventer aldrig at skulle bruge den.
Det, som skal være på plads i forbindelse med GDPR er overholdelse af Artikel 30 med en fortegnelse, som du skal have klar, inden Datatilsynet melder sin ankomst. Derudover skal den kunne fremsendes eller vises frem, når det ønskes fra Datatilsynet eller Erhvervsstyrelsen (de varetager opgaven med kontrol af bl.a. Cookies). En Artikel 30 skal udover at vise, hvordan din virksomhed behandler de forskellige persondata, der indsamles, også indeholde en risikovurdering af de enkelte IT-systemer.
Der findes en del forskellige GDPR-kurser, og mange af dem er gode. GDPR-Regler.dk afholder også kurser i GDPR, vi afholder to forskellige typer af GDPR-kurser:
En af de kommentarer, som typisk kommer ved webinarer, kurser eller til netværksmøder er: “Det der GDPR er nok meget godt, men det er jo kun for banker og andre store virksomheder, og ikke sådanne nogle som mig”.
Sådan forholder det sig ikke. GDPR gælder for alle, der behandler persondata, hvilket alle virksomheder gør. Tommelfingerreglen er, at hvis du har et CVR-nummer, så behandler du persondata og skal leve op til GDPR.lovgivningen, dvs. der skal udarbejdes en fortegnelse / Artikel 30.
Datatilsynet har i foråret 2023 udgivet en guide til mindre virksomheder. Den giver god inspiration til, hvad GDPR er for en opgave, samtidig er der gratis hjælp at hente hos GDPR for små virksomheder (datatilsynet.dk).
Generelt beskriver ordet hacking et brud på data- og digitalsikkerhed, idet en person har fået uautoriseret adgang til en computer eller et digitalt system.
I GDPR-verdenen betyder det oftest, at en uautoriseret person har opnået adgang til generelle, følsomme eller fortrolige personoplysninger.
Hvis du er i tvivl om, hvorvidt en hjemmeside er en, du kan stole på, kan du www.tjekpånettet.dk skrive navnet på den hjemmeside, du gerne vil kontrollere og se hvilken sikkerhedsrisiko, den bliver vurderet til. En nyttig side, specielt ved e-handel/webshops.
Henvender sig til informationsflowets sikkerhed. E-mails, der indeholder personfølsomme oplysninger, skal eksempelvis være krypterede. Dette er et vigtigt punkt for GDPR generelt.
En forbruger, der har fået deres data behandlet af en virksomhed, har krav på at anmode om indsigt i den data, der er gemt.
Som udgangspunkt har man ret til at se de personoplysninger, den dataansvarlige behandler om en selv. Herunder har man også en ret til at få en kopi af disse oplysninger udleveret gratis.
Desuden har man også ret til at få en række oplysninger om, hvordan ens personoplysninger behandles, hvad formålet med behandlingen er, hvem personoplysninger deles med, etc.
Små iværksættere er nok den svageste gruppe ift. GDPR-sikkerhed. Rådgivning er dyrt, og det kan ofte ses som en udgift, der hverken er vigtig eller relevant. Oprettelsen og vedligeholdelsen af sikker behandling af personoplysninger er dog lovpligtig, og manglen kan udløse store bøder.
Hvis din virksomhed er under 2 år gammel, og du kun har dig selv og evt. 1 ansat, kan du undgå at betale en formue for GDPR-rådgivning ved at se vores tilbud om rådgivning her.
Elektronisk sags- og dokumenthåndtering (ESDH) er det overordnede term for det system, der hjælper med at sikre journaliseringen af behandlingen af personoplysninger.
Der findes mange forskellige systemer med forskellige fordele og styrker. Valget af det rigtige system afhænger ofte af hvilken branche, man arbejder i.
En konsekvensanalyse er et dokument og en analyse, der skal udarbejdes, hvis behandlingen af specifikke personoplysninger sandsynligvis vil indebære høj risiko for den registrerede person. Konsekvensanalysen skal beskrive og analysere de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
Personoplysninger med høj risiko kan f.eks. være:
Konsekvensanalysen er tæt forbundet med en DPIA.
Lexoforms er en IT-cloud platform, hvor alle dine GDPR-dokumenter til brug for etablering af en virksomheds interne fortegnelse / artikel 30 kan ligge i et lukket system. Dvs. at Lexoform sikkert gemmes og ændres i fortegnelsen, da det lukkede system ikke kan åbnes udefra.
En log i GDPR-verdenen er et dokument over de hændelser (mindre databrud), der sker i dagligdagen. Herunder dokumenteres det også, hvad man har gjort for, at det ikke sker igen, og/eller hvad man har gjort for at mitigere risici.
Det er lovpligtigt for en virksomhed at føre sådan et dokument.
MitId er en login-løsning til de platforme, der kræver forhøjet sikkerhed.
At mitigere betyder at gøre noget mindre eller mildere.
En mitigerende handling i GDPR-verdenen er en handling der har til hensigt at minimere risici for forbrugere og dermed også virksomheden selv.
Behovet for mitigerende handlinger kan opstå, når en virksomhed har med følsomme personoplysninger at gøre.
Mitigerende handlinger indgår også i sikringen af former for databrud som f.eks. 2-trins-verifikation ved log-in. Dette sørger for, at hvis et databrud skulle ske, så er det sværere for uautoriserede personer at få adgang til konti eller yderligere information om en forbruger.
Oplysningspligten betyder, at den dataansvarlige på eget initiativ har pligt til at give den registrerede en række oplysninger, når den dataansvarlige indsamler personoplysninger om vedkommende. Det gælder bl.a. oplysninger om identitet og kontaktoplysninger for den dataansvarlige, oplysninger om formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen.
Typisk er denne side placeret nederst på en hjemmeside under navnet “Personlivspolitik”.
Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne, eller når den i artikel 30 / Fortegnelsen beskrevne slette-regel er nået. Der er derfor en begrænsning på, hvad en dataansvarlig må opbevare.
Her refereres der til overførsler af personoplysninger til andre lande uden for EU, også kaldet 3. lande. Da disse lande ikke nødvendigvis har lovgivning om personoplysninger, eller da deres lovgivning er anderledes eller svagere end den europæiske, skal der udføres en konsekvensanalyse, og mitigerende handlinger skal tages for at beskytte personoplysninger.
Persondata eller personoplysninger er vilkårlig information om en identificeret eller identificerbar, fysisk person.
Personoplysninger er ofte indsamlet gennem tilmelding til et nyhedsbrev, onlinekøb eller lignende. De kan også være indsamlet af fx forsikringsselskaber eller arbejdsgivere.
Et par eksempler:
Personoplysninger er desuden kategoriseret i tre forskellige intervaller: almindelige, følsomme, og fortrolige.
Persondataloven trådte i kraft den 1. juli 2000. Datatilsynet er den offentlige myndighed, der fører tilsyn med, at Persondataloven overholdes. Persondataloven er ikke længere gældende i Danmark efter indførelsen af GDPR.
Læs en beskrivelse af de grundlæggende begreber i persondataloven.
Typisk anvendes ordet Persondatasikkerhed i forbindelse med, at der er sket et brud på Persondatasikkerheden, dvs. der er sket en deling af persondata, f.eks. e-mails med CPR-numre til uautoriserede personer.
En privatlivspolitik er typisk placeret på en dataansvarligs hjemmeside og har til formål at informere forbrugeren om, hvilke data der indsamles, hvilke grundlag der ligger for dataindsamling, samt hvem der er dataansvarlig.
Privatlivspolitikken skal som minimum indeholde følgende oplysninger:
Når personoplysninger pseudonymiseres, bliver de behandlet på en sådan måde, at de ikke længere kan henføre direkte til en identificerbar person uden andre supplerende oplysninger. Det betyder, at personoplysningerne får en slags “maske” på, der giver ekstra beskyttelse. F.eks. kan et navn erstattes med “ABC123.”
Trods “masken” er det stadigvæk en personoplysning, hvis koden kan føre tilbage til den oprindelige personoplysning.
Q&A er en forkortelse for Questions & Answers, dvs. spørgsmål og svar. Husk, at du altid kan sende dine Q’s (spørgsmål) til info@GDPR-Regler.dk, og så sørger vi for et svar til dig.
Den registrerede er personen (borgeren, brugeren, medarbejderen), hvis data opbevares og behandles. Den registrerede er synonymt med datasubjektet.
Risikovurderingen er en obligatorisk del af fortegnelsen og skal kunne fremvises ved en forespørgsel fra Datatilsynet.
Risikovurdering er en kortlægning af de risici, databehandlingen medfører, f.eks. overfor den registreredes rettigheder.
Hvordan risikovurderingen skal udarbejdes, er der ingen krav om, men følgende indhold skal være dækket, jævnfør Datatilsynets hjemmeside:
En samtykkeerklæring er den dataansvarliges dokumentation på, at den registrerede bruger er vidende om de personoplysninger, der indsamles.
Samtykkeerklæringen bygger på et informeret, aktivt samtykke. Det vil eksempelvis sige, at tilmeldingen til et nyhedsbrev skal præsenteres som sådan, og at feltet, hvor brugeren kan sige ja/nej til tilmeldingen, ikke allerede har et flueben.
Det samme gør sig gældende, hvis der f.eks. er flere ting, som kan krydses af og gives samtykke til, f.eks. to forskellige nyhedsbreve, der fortæller om to forskellige produkter.
Datatilsynet har blandt andet en uddybet vejledning.
Sletning er en behandling af personoplysninger, der sikrer, at de ikke længere er tilgængelige. Dvs. at de fjernes fra en database.
Sletning er et af de vigtigste områder, at en dataansvarlig har styr på specielt i henhold til den registreredes ret til at blive glemt.
Det forventes desuden, at der er en slettefrist, og at når den frist er nået, så skal personoplysningerne være slettet, enten automatisk eller manuelt. Denne frist skal være beskrevet i virksomhedens fortegnelse. Der skal slettefristerne være opdelt, idet der kan være forskellige slettefrister for medarbejdere, kunder og leverandører.
Nedenstående er 8 særlige typer personoplysninger, som den dataansvarlige skal være ekstra opmærksom på i forhold til både behandling og indsamling.
Forkert behandling af disse typer personoplysninger kan medføre en fordobling af en eventuel bøde.
Datatilsynet er tilsynsmyndigheden for GPDR-lovgivningen i Danmark. Hvert medlemsstat i EU skal i henhold til GDPR-lovgivningen sikre, at en eller flere offentlige myndigheder er ansvarlige for tilsyn af persondatabeskyttelse.
Overførsler til 3. lande, såvel sikre som usikre 3. landsoverførsler er nok den del af GDPR-lovgivningen, der er ændret flest gange siden 2018 og stadig er i en ændringsproces. På dette link kan den nuværende vejledning læses. Derudover er anbefalingen herfra at læse på Datatilsynets hjemmeside, hvis man er i tvivl om, hvad gældende lovgivning er nu.
Senest er der den 10. juli 2023 vedtaget en tilstrækkelighedsafgørelse i EU.
Et tredjeland er et land uden for EU og EØS-samarbejdet.
Hvis persondata overføres til et tredjeland, gælder der særlige regler og grundlag for overførsel af personoplysninger. Baggrunden for disse regler skal findes i at sikre den registreredes oplysninger, også når data flyttes uden for EU samt de lande, som der er opnået en aftale med. De er derfor benævnt ”sikre tredjelande.”
F.eks. er Storbritannien og Argentina begge sikre tredjelande. Det betyder, at de forholder sig til GDPR-lovgivningen efter aftale med EU.
Datatilsynet har blandt andet en uddybet liste over sikre tredjelande.
Der sker ofte fejl i forbindelse med styring af adgange til IT-systemer og drev. Som dataansvarlig skal du sikre dig, at kun de rette har adgang, herunder at der er en brugeradgang, der angiver, hvem der har adgang til hvilke mapper på fællesdrevet.
Derfor skal det overvejes, om der behov for procedurer for adgangskontrol. Logning af brugernes adgang i systemerne er et naturligt krav at stille til sin leverandør samt løbende kontrol af, om det over tid stadig er de rigtige, der har adgang. Samtidig skal der årligt ske en evaluering, om det er de rette medarbejdere, der har de forskellige adgange.
Wired Relation er en IT-cloud platform, hvor bl.a. alle dine GDPR-dokumenter til brug for etablering af en virksomheds interne fortegnelse / artikel 30 kan ligge i et lukket system. Udover at hjælpe dig med at leve optil gældende lovgivning, hjælper Wired Relations på en nem måde med at vise status til en ledelse samt bestyrelse. Wired Relations er bygget op, så man som nystartet gratis kan tilknytte en rådgiver samt sig selv som bruger gratis. Prisen på platformen stiger afhængig af antallet af moduler, f.eks. ISO, ISAE3000 moduler eller lignende, som en virksomhed vælger at anvende. GDPR-Regler.dk er rådgiver på Wired Relations. Du kan læse mere om Wired Relations.
Fra 17. december 2023 skal arbejdspladser med minimum 50 ansatte have etableret en whistleblowerordning.
Denne ordning skal give de ansatte en sikker kanal, hvor de kan rapportere brud på GDPR-lovgivningen og seriøse lovovertrædelser. Mere information kan findes hos Den Nationale Whistleblowerordning.
.
Ordbogen bliver opdateret hver uge med nye forklaringer. Sidste opdatering skete den 7. juli 2025.
GDPR-REGLER.DK
Rene Nørbjerg – GDPR rådgiver
Slotsmarken 18
DK-2970 Hørsholm
Cvr: 42720062
Cookiepolitik
Privatlivspolitik
Handelsbetingelser
ESG
© 2022-2024 GDPR-REGLER.DK