GDPR for begynder virksomheder – Styr på din hobby webshop

Posted on oktober 15, 2025
Annonce

Drømmer du om at sælge dine egne produkter online, eller har du allerede startet en lille webshop ved siden af dit fuldtidsjob? Uanset størrelsen på din forretning, gælder de samme regler for beskyttelse af persondata også kendt som GDPR.

Mange hobby og iværksætter-webshops undervurderer, hvor vigtigt det er at have styr på GDPR fra starten. Men reglerne handler ikke kun om jura og bøder, de handler om at skabe tillid hos dine kunder og vise, at du tager deres data alvorligt. I denne artikel guider vi dig gennem de grundlæggende ting, du skal være opmærksom på, når du driver en webshop især når det kommer til drift, plugins og sporing.

Hvad er persondata og hvorfor skal du tage det alvorligt?

Når en kunde besøger din webshop, efterlader de spor. Det kan være i form af deres navn, e-mail, adresse, IP-adresse eller hvilke produkter de har kigget på. Alt dette kaldes persondata – og ifølge GDPR er du som webshopejer ansvarlig for, hvordan de oplysninger bliver behandlet.

Der findes to typer persondata:

  • Almindelige persondata: Navn, e-mail, telefonnummer, adresse, IP-adresse.
  • Følsomme persondata: Helbredsoplysninger, religion, politisk overbevisning osv. (sjældent relevant for en almindelig webshop, men vigtigt at kende forskellen).

Selvom du “bare” driver en lille webshop, bliver du betragtet som dataansvarlig. Det betyder, at du skal kunne dokumentere, hvordan du indsamler, opbevarer og beskytter dine kunders oplysninger og du må kun bruge dem til det, kunden har givet samtykke til.

Det handler ikke om at skræmme, men om at sikre, at din webshop fremstår professionel og tryg. For mange kunder er datasikkerhed nemlig lige så vigtigt som leveringstid og pris.

De grundlæggende GDPR-krav for webshops

Når du driver en webshop, også som hobby, skal du kunne vise, at du overholder en række grundlæggende krav i GDPR. Det er ikke raketvidenskab, men det kræver, at du er opmærksom på detaljerne. 

Du kan starte med at læse Webtos basale guide for GDPRReklamelink. Webto har arbejdet med hjemmesider og webshops i over 13 år og er iblandt fronten af udvikling af sikre og lovlige hjemmesider.

Her er de vigtigste ting, du skal have styr på:

Samtykke: Gennemsigtighed og valgfrihed

Du må kun indsamle og bruge persondata, hvis brugeren har givet dig lov. Det gælder især:

  • Nyhedsbreve – Du må ikke tilmelde nogen uden deres aktive samtykke
  • Tracking (f.eks. Google Analytics, Facebook Pixel) – Kræver samtykke via et korrekt opsat cookie-banner

Husk: Samtykke skal være frivilligt, informeret og aktivt. Du må ikke forud afkrydse felter eller gemme samtykke i det skjulte.

Privatlivspolitik: Klar og tydelig

Du skal have en privatlivspolitik tilgængelig på din webshop, der forklarer:

  • Hvilke data du indsamler.
  • Hvorfor du indsamler dem.
  • Hvem du deler dem med (f.eks. betalingsgateways, fragtfirmaer).
  • Hvor længe du opbevarer data.
  • Hvordan brugeren kan få indsigt, rette eller få slettet sine data.

Den skal være skrevet i et klart sprog – ikke juridisk volapyk – og være nem at finde på siden.

Cookie- og trackingpolitik

Hvis du bruger cookies til andet end den basale funktion af webshoppen (f.eks. statistik, annoncering), skal du have:

  • Et cookie-banner der giver valgmuligheder, der er lige nemme at tage (accepter, afvis, vælg selv)
  • En cookiepolitik der forklarer, hvad du tracker og hvorfor

Gratis cookie-bannere som f.eks. Cookiebot eller Complianz kan hjælpe dig godt på vej, men de skal være korrekt konfigureret.

Brugerrettigheder: Giv dine kunder kontrol

Dine besøgende har ret til:

  • At få indsigt i, hvilke data du har om dem.
  • At få deres data rettet eller slettet.
  • At trække deres samtykke tilbage.
  • At klage over din håndtering af data.

Du skal kunne håndtere disse anmodninger og det bør fremgå tydeligt i din privatlivspolitik, hvordan man gør.

Plugins og sporing er de skjulte GDPR-fælder

Det er nemt at komme til at installere et plugin eller en funktion på webshoppen uden at tænke over, hvad der sker i baggrunden. Mange populære plugins og integrationer sender nemlig data videre til tredjepart og det kan give store problemer, hvis du ikke har styr på samtykke og dokumentation.

Det bedste at gøre er som TopCallReklamelink og udvikle sin egen løsning. Men dette kan være en dyr udgift, søg i stedet efter en nordisk løsning, så undgår du mange GDPR faldgruber allerede der.

Brug kun GDPR-kompatible plugins

Når du vælger plugins til f.eks. betalingsløsninger, nyhedsbreve, sociale medier eller statistik, skal du sikre dig, at:

  • Udvikleren har beskrevet, hvordan de håndterer GDPR
  • Du kan slå tracking og dataoverførsel fra, hvis brugeren ikke giver samtykke
  • Du har mulighed for at indgå en databehandleraftale, hvis det er nødvendigt

Eksempel: Et plugin til nyhedsbreve, der automatisk sender brugerens e-mail til en amerikansk server uden samtykke, er et problem, især efter Schrems II-dommen, hvor dataoverførsel til USA kræver ekstra beskyttelse.

Populære fælder: Google Analytics & Facebook Pixel

Disse to værktøjer bruges ofte til statistik og markedsføring, men:

  • Google Analytics sender data til USA og kræver aktivt samtykke før sporing
  • Facebook Pixel må ikke loade, før brugeren har accepteret cookies til markedsføring

Løsning: Brug et cookie-banner, der blokerer scripts, indtil samtykke gives. Overvej også alternativer til Google Analytics, som f.eks. Matomo (hostet i EU).

Hold dine plugins opdaterede

Gamle eller forældede plugins kan udgøre en sikkerhedsrisiko, både for dine kunders data og din webshop. Sørg for at:

  • Holde alle plugins opdateret
  • Fjerne plugins du ikke bruger længere.
  • Vælge leverandører der prioriterer datasikkerhed og vedligeholdelse.

Dokumentér dine databehandlere

Hvis et plugin eller en integration behandler persondata (f.eks. Mailchimp, Stripe, Shipmondo), så skal du:

  • Have en databehandleraftale.
  • Være klar over, hvilke data der sendes hvorhen.
  • Kun bruge tjenester, der lever op til GDPR-krav.

Hosting og databehandleraftaler – hvem har adgang til dine data?

Selvom du måske kun tænker på din webshop og dine kunder, så er der ofte flere aktører i kulissen, der har adgang til persondata – især din webhost. Derfor er det vigtigt at forstå, hvem der behandler data på dine vegne, og sikre at det sker lovligt.

Din hosting er også en databehandler

Når du bruger en webhost (f.eks. Simply, One.com, ScanNet eller lignende), bliver de automatisk databehandler, fordi de lagrer persondata på deres servere, typisk via:

  • Ordreoplysninger i databasen
  • Kontaktformularer der sendes via deres mailservere
  • Backup-løsninger der gemmer data eksternt

Som dataansvarlig skal du have styr på, hvordan disse data håndteres og det kræver en databehandleraftale.

Hvad skal en databehandleraftale indeholde?

En databehandleraftale (DPA) er en skriftlig aftale mellem dig og din host, der fastlægger:

  • Hvilke data de behandler
  • Hvordan de sikrer data (teknisk og organisatorisk)
  • Hvem der har adgang til data
  • Hvad der sker med data ved ophør af samarbejdet

De fleste professionelle hosts tilbyder i dag en standard-DPA, som du kan acceptere via dit kontrolpanel, men det er vigtigt, at du aktivt tilføjer den til din GDPR-dokumentation.

Tjekliste: Vælg en GDPR-venlig host

Når du vælger (eller skifter) webhost, bør du sikre dig:

  • At serverne er placeret i EU, bedst hvis i Norden.
  • At der tilbydes en databehandleraftale.
  • At de har klare sikkerhedsprocedurer.
  • At deres support forstår og kan vejlede i GDPR-relaterede spørgsmål.

Ekstra point hvis de tilbyder automatisk backup, 2-faktor login og krypteret mail, det styrker både din sikkerhed og din troværdighed.

Registreringsnummer 37 40 77 39