Sådan Laver du en Privatlivspolitik til din Lille Virksomhed: En Praktisk Guide for IT-Sikkerhedsstuderende

Når man studerer IT-sikkerhed, Governance, Risk & Compliance (GRC), lærer man hurtigt, at jura og teknik hænger uløseligt sammen. Et af de mest håndgribelige beviser på GDPR’s rækkevidde er privatlivspolitikken (Privacy Policy).

Som en øvelse i at omsætte teoretisk viden til den “virkelige verden”, vil jeg her gennemgå, hvordan jeg som IT-sikkerhedsstuderende ville bygge en solid privatlivspolitik for en fiktiv (eller ægte) lille virksomhed.

Hvorfor er en privatlivspolitik vigtig?

Uanset om du driver en webshop, et SaaS-projekt eller en lille konsulentvirksomhed, indsamler du med stor sandsynlighed persondata. Det kan være:

• Navne og e-mailadresser på kunder.
• IP-adresser fra besøgende på din hjemmeside.
• Oplysninger sendt gennem en kontaktformular.

Ifølge Databeskyttelsesforordningen (GDPR) Artikel 12, 13 og 14 skal enhver virksomhed informere sine brugere og kunder om, hvordan og hvorfor de indsamler og behandler disse data. Det skal ske i en letforståelig, gennemsigtig form. At ignorere dette er ikke bare en compliance-risiko, det undergraver tilliden til din forretning.

Trin 1: Data-mapping (Hvad har vi i systemet?)

Før man kan skrive et ord jura, skal man forstå teknikken. Du skal vide præcis, hvilke data der indsamles, og hvor de flyder hen. Dette kaldes datamapping.

Stil dig selv disse spørgsmål:

1. Hvilke data indsamler vi? (F.eks. navn, adresse, e-mail, betalingsoplysninger, cookies).
2. Hvordan samler vi dem ind? (F.eks. via formularer, direkte ved køb, automatisk via server-logs).
3. Hvorfor indsamler vi dem? (Det lovlige grundlag – f.eks. for at overholde en kontrakt, af hensyn til et legitimt formål eller med samtykke).
4. Hvor længe gemmer vi dem? (Data må ifølge GDPR ikke opbevares “for evigt”).
5. Hvem deler vi dem med? (F.eks. eksterne betalingsudbydere som Stripe, eller cloud-leverandører som AWS).

Når du har dette overblik, er politikken meget nemmere at skrive.

Trin 2: Skabelonen (Hvad skal selve teksten indeholde?)

En god privatlivspolitik for en mindre erhvervsdrivende bør være delt overskueligt op. Her er de hovedafsnit, du skal have med:

1. Dataansvarlig (Hvem har ansvaret?)

Gør det tydeligt, hvem kunden henvender sig til.

“Virksomhed X (CVR: 12345678) er dataansvarlig for behandlingen af de personoplysninger, som vi modtager om dig. Du finder vores kontaktoplysninger nedenfor…“

2. Formål og Lovligt Grundlag (Hvorfor og hvordan?)

Dette er kernen i dokumentet. Du skal specificere formålet med behandlingen opdelt i kategorier.

• Køb/Ordrer: Behandles iht. Databeskyttelsesforordningens art. 6, stk. 1, litra b (opfyldelse af kontrakt).
• Nyhedsbreve: Behandles iht. art. 6, stk. 1, litra a (samtykke).
• Statistik/Cookies: Behandles oftest iht. samtykke eller legitime interesser (art. 6, stk. 1, litra f).

3. Modtagere af data (Hvem kigger med?)

Hvis din virksomhed ligger på en netbutiks-platform (som Shopify) eller sender mails via MailChimp, fungerer disse som Databehandlere. Nævn kategorierne af disse, og slå fast at du har Databehandleraftaler (DPA’er) på plads med dem alle, for at sikre kunden.

“Vi videregiver eller overlader ikke dine personoplysninger til tredjepart, medmindre vi er forpligtet hertil i henhold til lovgivningen. Dine data overlades dog til vores IT-leverandører og hostingspartnere (databehandlere)…“

4. Overførsel til Tredjelande (EU’s grænser)

Mange små virksomheder bruger ubevidst amerikanske tjenester (f.eks. Google Analytics eller AWS). Læreren/revisoren vil forvente at se et afsnit om Tredjelandsoverførsler.

• Bliver data sendt udenfor EU/EØS? (Hvis nej, skriv “nej”).
• Hvis ja, hvilket grundlag bruger I for at sikre data? (Typisk EU-US Data Privacy Framework eller EU’s Standardkontraktbestemmelser (SCC)).

5. Sletterutiner (Opbevaring)

Hvor lang tid gemmes data? Gør det konkret, men med rum til lovkrav (f.eks. bogføringsloven, der tilsiger, at regnskabsdata skal gemmes i 5 år).

“Vi sletter dine oplysninger, når de ikke længere er nødvendige for de formål, de var indsamlet til. Oplysninger vedr. regnskab gemmes i indeværende år + 5 år jf. Bogføringsloven.”

6. De Registreredes Rettigheder (Magten tilbage til brugeren)

En essentiel del af GDPR. Brugerne skal informeres om deres ret til:

• Indsigt (at se hvilke data du har om dem).
• Berigtigelse (at få rettet forkerte data).
• Sletning (“Retten til at blive glemt”).
• Indsigelse (mod f.eks. direkte markedsføring).
• Dataportabilitet (at få deres data tilsendt for at skifte leverandør).

Nævn disse rettigheder i bullet-points og forklar, hvordan kunden kan udøve dem – f.eks. ved at sende en e-mail til privacy@virksomhed.dk.

7. Klageadgang

Kunden skal have at vide, hvor de kan klage, hvis de mener, I ikke overholder loven. I Danmark er det Datatilsynet. Indsæt link til (www.datatilsynet.dk).

Trin 3: Undgå Juridisk Volapyk

Loven kræver faktisk, at sproget er nemt at forstå (særligt hvis det henvender sig til børn, men også generelt). Undgå at copy-paste “corporate lawyer talk” for at lyde professionel. Vær ærlig. Et afsnit som “Vi sælger ALDRIG dine data til ondsindede reklamefirmaer, men vi bruger Google Analytics for at se hvilke sider I bedst kan lide”, er meget bedre og mere i lovens og gennemsigtighedens ånd end 4 siders uforståelig tågesnak.

Konklusion

At skrive en privatlivspolitik starter i serverrummet (eller i cloud console), ikke på advokatkontoret. Først når du forstår din tekniske data-arkitektur, kan du skrive et dokument, der reelt er compliant. Det er præcis her, GRC-rollen skinner: som brobygger mellem teknisk operation og juridisk ramme.

Kilder

• Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR) - Den officielle EU-lovtekst på dansk.
• Bogføringsloven (LBK nr 160 af 02/02/2021) - Lovgrundlaget for opbevaring af regnskabsdata i 5 år.
• Data Privacy Framework Program - Det officielle grundlag for overførsel af data til USA.
• Europa-Kommissionen - Standard Contractual Clauses (SCC) - Værktøj til overførsel af data til lande uden for EU/EØS.