23. april 2026
Privatlivspolitik for webshop: skabelon + fejl du skal undgå
Skabelon til privatlivspolitik baseret på GDPR artikel 13. Inkluderer de 5 typiske fejl fra Datatilsynets afgørelser.
Mere end en jura-tekst
Privatlivspolitikken er det dokument på dit website, flest besøgende ignorerer — og samtidig det dokument, Datatilsynet læser først, hvis der kommer en klage. For en webshop er den dobbelt vigtig: den er dit juridiske kort over, hvordan du behandler kundedata, og den er en tillidsmarkør, der fortæller besøgende, at du har styr på deres oplysninger. Problemet er, at de fleste SMB-privatlivspolitikker er kopieret fra en konkurrent, aldrig opdateret, og dækker tjenester, som virksomheden slet ikke bruger. Denne guide giver dig en brugbar skabelon og peger på de 5 fejl, Datatilsynet hyppigst kommenterer på.
De lovpligtige sektioner ifølge GDPR artikel 13
Artikel 13 er det centrale juridiske anker for hvad en privatlivspolitik skal indeholde. Når en webshop indsamler personoplysninger direkte fra den registrerede — ved ordremodtagelse, nyhedsbrev-tilmelding, kontaktformular eller oprettelse af kundekonto — kræver forordningen, at følgende punkter er tilgængelige og forståelige:
- Identitet og kontaktoplysninger på dataansvarlig (din virksomhed) og eventuel databeskyttelsesrådgiver
- Formålet med behandlingen og retsgrundlaget (GDPR art. 6)
- Legitime interesser, hvis behandlingen bygger på art. 6(1)(f)
- Modtagere af oplysningerne — konkret eller pr. kategori
- Overførsler til tredjelande (lande uden for EU/EØS) og det juridiske grundlag for overførslen
- Opbevaringsperiode eller kriterierne for at fastsætte den
- Den registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, portabilitet, indsigelse)
- Ret til at trække samtykke tilbage, hvor behandling hviler på samtykke
- Ret til at klage til Datatilsynet
- Om oplysninger er lovkrav eller kontraktkrav, og konsekvenserne af ikke at oplyse dem
- Automatiske afgørelser og profilering, hvis det forekommer
Det er en del, men det behøver ikke blive til en bog. En retvisende SMB-privatlivspolitik fylder typisk 1.500-2.500 ord og kan læses på 6-8 minutter.
Praktisk skabelon for en dansk webshop
Herunder følger en skabelon, du kan bruge som udgangspunkt. Udskift alt i <spidsparenteser> med dine egne oplysninger, og slet de sektioner, der ikke passer på din forretning. Skabelonen er ikke juridisk rådgivning — den er en struktureret startramme, som dækker artikel 13's punkter.
Dataansvarlig og kontakt
## Dataansvarlig
<Virksomhed ApS>
<Adresse>
CVR: <XXXXXXXX>
E-mail: <privacy@virksomhed.dk>
Telefon: <+45 XX XX XX XX>
Vi har ikke pligt til at udpege en databeskyttelsesrådgiver (DPO),
men du kan kontakte os på ovenstående e-mail i alle spørgsmål om
dine personoplysninger.
Hvilke data vi behandler og formålet
## Hvilke oplysninger vi behandler
Vi behandler følgende kategorier af personoplysninger:
- **Ordredata**: navn, leveringsadresse, faktureringsadresse,
e-mail, telefon, ordrehistorik, betalingsreference
- **Kontaktformular**: navn, e-mail, besked
- **Nyhedsbrev**: e-mail, fornavn (valgfrit), samtykke-tidspunkt
- **Kundekonto**: som ordredata + loginhistorik
- **Tekniske data**: IP-adresse, browser, enhedstype, besøgstidspunkt
(kun aggregeret statistik via <Vercel Analytics>)
Retsgrundlag
## Retsgrundlag
| Behandling | Retsgrundlag | Henvisning |
| ------------------------ | ------------------- | ---------------------------------- |
| Ordrehåndtering | Kontrakt | GDPR art. 6(1)(b) |
| Fakturering og bogføring | Retlig forpligtelse | GDPR art. 6(1)(c), bogføringsloven |
| Nyhedsbrev | Samtykke | GDPR art. 6(1)(a) |
| Kontaktformular | Legitim interesse | GDPR art. 6(1)(f) |
| Svindelbekæmpelse | Legitim interesse | GDPR art. 6(1)(f) |
Retention
## Hvor længe vi opbevarer dine oplysninger
| Datatype | Opbevaring | Begrundelse |
| ------------------- | ---------------------- | ------------------------------------- |
| Ordrer og fakturaer | 5 år | Bogføringsloven § 10 |
| Kundekonto (aktiv) | Indtil sletning + 3 år | Reklamationsret, garantiforpligtelser |
| Nyhedsbrev | Indtil afmeldelse | Samtykkebaseret |
| Kontaktformular | 6 måneder | Opfølgning på henvendelse |
| Server-logs | 30 dage | Sikkerhed og fejlfinding |
Modtagere og tredjelande
## Modtagere af dine oplysninger
Vi deler dine oplysninger med følgende databehandlere:
- **Hosting**: <One.com / Simply / Hetzner> (EU)
- **Betalingsudbyder**: <Stripe> (EU + US, SCC-baseret overførsel)
- **Fragt**: <GLS / PostNord / DAO> (EU)
- **E-mail-marketing**: <HeyLoyalty> (EU)
- **Regnskab**: <Dinero> (EU)
Overførsler til lande uden for EU/EØS sker kun på baggrund af
EU-Kommissionens standardkontraktbestemmelser (SCC) eller anden
passende sikkerhedsforanstaltning, jf. GDPR kapitel V.
Rettigheder og procedure
## Dine rettigheder
Du har ret til at:
- Få **indsigt** i hvilke oplysninger, vi har om dig (art. 15)
- Få **berigtiget** urigtige oplysninger (art. 16)
- Få **slettet** dine oplysninger (art. 17)
- Få **begrænset** behandlingen (art. 18)
- Modtage dine oplysninger i et **maskinlæsbart format** (art. 20)
- **Gøre indsigelse** mod behandling baseret på legitim interesse (art. 21)
- **Trække samtykke tilbage**, hvor samtykke er retsgrundlag (art. 7)
Send anmodning til <privacy@virksomhed.dk>. Vi svarer inden 30 dage.
Klagemulighed og ændringslog
## Klage
Du kan klage til Datatilsynet:
Carl Jacobsens Vej 35, 2500 Valby — dt@datatilsynet.dk — www.datatilsynet.dk
## Ændringer
Denne privatlivspolitik er senest opdateret <DD.MM.ÅÅÅÅ>.
Væsentlige ændringer varsles til vores kunder via e-mail.
5 fejl Datatilsynet ser mest
Når Datatilsynet gennemgår privatlivspolitikker i deres tilsynssager, går de igen og igen tilbage til samme fem problemer. Du kan selv tjekke dit nuværende dokument mod dem nu.
1. Copy-paste fra konkurrent
Den mest udbredte fejl er, at politikken er kopieret direkte fra en anden virksomhed. Det betyder typisk, at den omtaler tjenester, du ikke bruger (Google Analytics, Facebook Pixel, Mailchimp), og ikke nævner dem, du faktisk bruger. Konsekvensen er dobbelt: du dokumenterer behandlinger, der ikke sker, og du undlader at dokumentere dem, der sker. Det er præcis modsat af, hvad artikel 13 kræver.
Vigtigt
Copy-paste-privatlivspolitikker er særligt problematiske for webshops, fordi betalings- og fragtleverandører varierer meget fra butik til butik. Hvis din politik nævner PayPal, men du bruger Stripe, er du ikke compliant — selvom teksten er skrevet af en advokat for en anden. Datatilsynet læser politikken som en erklæring om din virksomhed, ikke som et generisk dokument.
2. Ingen retention-perioder
Artikel 13(2)(a) kræver eksplicit, at du oplyser opbevaringsperiode eller kriterierne for at fastsætte den. "Så længe det er nødvendigt" er ikke tilstrækkeligt — det er en floskel, ikke en periode. Brug konkrete tidsrammer, og ankrér dem i en begrundelse (bogføringsloven, kontrakt, samtykke). En retention-tabel som den i skabelonen ovenfor løser problemet på 15 minutter.
3. Udløben — ikke opdateret i 3+ år
Privatlivspolitikken skal afspejle virkeligheden. Det gør den ikke, hvis du har skiftet hosting for to år siden, tilføjet HubSpot sidste år, og stadig har teksten fra 2022 stående. En politik uden dato er mistænkelig; en politik dateret til 2021 er rød-flag. Tilføj en synlig "senest opdateret"-dato, og review mindst én gang årligt.
4. Mangler kontakt til dataansvarlig
Artikel 13(1)(a) kræver identitet og kontaktoplysninger på dataansvarlig. Det er ikke nok at henvise til den generelle info@-adresse — der skal være en konkret vej for den registrerede at nå den ansvarlige. For SMB'er uden DPO er løsningen typisk en dedikeret privacy@-alias, der peger på ejeren eller en navngivet medarbejder. Datatilsynet lægger mærke til, om henvendelser faktisk bliver besvaret inden for 30-dages-fristen.
5. For juridisk — kunden forstår ikke teksten
GDPR artikel 12 kræver, at informationen er "i en kortfattet, gennemsigtig, letforståelig og let tilgængelig form og i et klart og tydeligt sprog". I praksis betyder det, at en kunde uden juridisk uddannelse skal kunne læse politikken og forstå, hvad der sker med hans data. Undgå formuleringer som "dataansvarlig behandler personoplysninger i overensstemmelse med gældende databeskyttelsesretlige regler" — det er en tom sætning. Skriv i stedet: "Vi bruger din e-mail til at sende dig din ordrebekræftelse og eventuelle fragtoplysninger."
Handling og review
En retvisende privatlivspolitik er ikke et engangsprojekt. Første gang kræver det typisk 2-4 timers fokuseret arbejde: kortlæg dine databehandlere, afklar retsgrundlag per behandling, fastlæg retention, og skriv teksten. Brug skabelonen ovenfor som struktur og udfyld hvert afsnit med din konkrete virkelighed. Lad en kollega uden juridisk baggrund læse resultatet og pege på de sætninger, hun ikke forstår — de skal omskrives.
Tip
Sæt privatlivspolitik-review ind i dit årshjul. Én gang om året, gerne i samme uge som årsregnskabet, gennemgår du dokumentet: er der kommet nye leverandører? nye behandlinger? ændrede retention-perioder? Opdater datoen og behold en version-log. Det tager under en time og eliminerer den fejl, der ellers rammer 4 ud af 5 SMB'er — at politikken er udløben.
Bemærk
Hele strukturen i skabelonen ovenfor følger GDPR artikel 13(1) og 13(2). Du kan slå teksten op i EUR-Lex eller Datatilsynets vejledning og krydstjekke, at hvert punkt er dækket. Det er den tryghed, en retvisende kildebaseret politik giver — du kan forsvare hver sektion med en henvisning til forordningen.
Næste skridt
Har du brug for at vide, hvordan din nuværende politik klarer sig mod skabelonen ovenfor? Kør en gratis GDPR-scan — vi analyserer dokumentet og peger på de sektioner, der mangler eller er upræcise. Vil du se, hvordan en fuld rapport ser ud, ligger vores eksempel-rapport tilgængelig.
For SMB-ejere, der tager compliance-arbejdet i rækkefølge, er den naturlige vej herfra at sikre, at cookie-banneret lever op til kravene, og derefter at læse vores komplette SMB-guide for at få overblik over de resterende fem områder — databehandleraftaler, rettigheder, dataindbrud, retention og retsgrundlag.