How-to

GDPR-kontrakt-tjekliste til sikker compliance

Jørgen Højlund WibeJørgen Højlund Wibe
March 5, 2026
gdpr kontrakt tjekliste

Sådan bruger du en praktisk GDPR-kontrakt-tjekliste

Denne vejledning hjælper dig med at gennemgå og sikre, at dine kontrakter lever op til GDPR-kravene – med særligt fokus på databehandleraftaler, opbevaringsperioder og registreredes rettigheder. Den er rettet mod dataansvarlige, DPO’er og ledere i små og mellemstore virksomheder, der ønsker et struktureret og effektivt compliance-arbejde.

Du skal bruge

  • Adgang til alle relevante kontrakter (leverandører, samarbejdspartnere, IT-systemer)
  • Overblik over virksomhedens behandling af persondata
  • Udpeget ansvarlig (fx GDPR-ansvarlig eller DPO)
  • Tid: ca. 2–4 timer pr. kontrakt ved første gennemgang

Trin 1: Kortlæg behandlingsaktiviteter

Start med at få et fuldt overblik over, hvilke persondata der håndteres i dine kontrakter. Dette skaber grundlaget for korrekt dokumentation og sikrer gennemsigtighed.

  1. Identificér hvilke personoplysninger der behandles, fx kunder og ansatte.
  2. Klassificér datatyper: almindelige, følsomme eller relateret til strafbare forhold.
  3. Notér formål og behandlingsgrundlag (aftale, samtykke, lovkrav).
  4. Kortlæg interne og eksterne modtagere af data.
  5. Dokumentér eksisterende slette- og arkiveringspolitik.

💡 Pro Tip: Brug denne kortlægning som grundlag for din fortegnelse over behandlingsaktiviteter (GDPR art. 30)

Trin 2: Tjek databehandleraftalen (DPA)

Hvis en ekstern part behandler persondata for din virksomhed, skal du sikre, at der foreligger en gyldig databehandleraftale (GDPR art. 28).

  1. Kontrollér at aftalen beskriver emne, varighed, formål, typer af persondata og kategorier af registrerede.
  2. Bekræft at der foreligger klare instrukser fra den dataansvarlige.
  3. Sikr at brug af underdatabehandlere er reguleret.
  4. Tjek krav om passende tekniske og organisatoriske sikkerhedsforanstaltninger.
  5. Verificér at aftalen indeholder revisionsret, pligt til sletning eller returnering af data ved ophør, samt underretning ved ulovlige instruktioner.

⚠️ Important: Hvis du mangler en DPA med leverandør, skal du indgå aftalen straks, før der deles flere data.

Du kan anvende et AI-modul til struktureret gennemgang mod jeres egen playbook, fx AI-kontraktgennemgang, som hjælper med automatisk at identificere manglende GDPR-klausuler.

Trin 3: Definér opbevaringsperioder

Fastlæg klare og dokumenterede opbevaringsperioder for alle datatyper, så du overholder princippet om dataminimering (GDPR art. 5(1)(e)).

  1. Angiv konkrete opbevaringsperioder for hver datatype, fx “5 år efter kundeforholdets ophør”.
  2. Indsæt perioder direkte i kontrakten eller som bilag.
  3. Dokumentér slettepolitikken i interne procedurer.
  4. Sørg for automatiseret sletning, hvor det er muligt.

⚠️ Important: Erstat udtrykket “data gemmes så længe det er relevant” med en specifik og målbar tidsperiode.

Trin 4: Sikr registreredes rettigheder

Kontrakten skal understøtte, at virksomheden kan håndtere forespørgsler fra registrerede og overholde oplysningsforpligtelser.

  1. Bekræft at databehandleren hjælper med indsigtsanmodninger, sletning og dataportabilitet.
  2. Kontrollér at oplysningspligten er dækket: identitet på dataansvarlig, formål, modtagere, opbevaringsperiode og klageret.
  3. Sikr at svarfrister (typisk 1 måned) kan overholdes.

Trin 5: Vurder risici og sikkerhed

Reducer risikoen for brud på persondatasikkerheden ved at udføre risikovurderinger og sikre passende tekniske foranstaltninger.

  1. Vurder om behandlingen indebærer høj risiko for de registrerede.
  2. Udfør en konsekvensanalyse (DPIA), hvis nødvendigt.
  3. Tjek at kontrakten beskriver håndtering af databrud.
  4. Bekræft at der er en proces til anmeldelse af databrud inden for 72 timer.

Trin 6: Dokumentér og opdatér løbende

GDPR kræver dokumenteret ansvarlighed. Sørg derfor for løbende revision og central dokumentation af alle kontrakter.

  1. Gem alle kontrakter og vurderinger centralt i jeres Kontraktstyring.
  2. Opdatér kontrakter ved ændringer i behandling eller lovgivning.
  3. Gennemfør årlige audits af databehandlere via Compliance-styring.
  4. Opsæt påmindelser for genforhandling og opfølgning via Opgaver & deadlines.

Et struktureret setup med Kontraktstyring – ClearContracts autonome juridiske afdeling, der kører 24/7 – gør det nemmere at bevare overblik over versioner, fornyelser og compliance-status. Book en demo for at se det i praksis.

Almindelige problemer & hurtige løsninger

  • Manglende opbevaringsperiode: Tilføj konkrete tidsfrister pr. datatype.
  • Uklare roller: Præcisér hvem der er dataansvarlig versus databehandler.
  • Passivt samtykke: Skift til aktivt, eksplicit og dokumenteret samtykke.
  • Ingen brudlog: Opret en simpel log med dato, type, risiko og handling.

Opsummering og næste skridt

  • Du kan hurtigt finde en DPA for hver leverandør med persondataadgang.
  • Alle kontrakter indeholder klare og målbare opbevaringsperioder.
  • Virksomheden kan besvare indsigts- og sletningsanmodninger effektivt.
  • Dokumentationen er klar, hvis Datatilsynet beder om indsigt.
  • Planlæg en årlig GDPR-kontraktgennemgang som fast rutine.

Tags

complianceda
Back to Blog

AI-kompetencer du kan stole på

0+

Timer sparet pr. måned

0%

Hurtigere reviews

0x

ROI

0%

AI-forslag accepteret

Er du klar til at tage det næste skridt?

Intelligent automatisering af dine juridiske opgaver.

Skræddersyet til SMV'er & legal teams.

Book en demo