GDPR – EU’s persondataforordning


GDPR – Hvad er det, og hvad betyder det for mig?

Det har været på manges læber og til stor debat. Nu sker det lige om lidt. EU’s nye persondataforordning, som bærer navnet GDPR,  træder i kraft den 25. maj 2018. Forordningen indeholder et væld af regler for både dig og os, så persondata bliver mere sikre på internettet og i den “virkelige verden”.

Mange spørgsmål kan hurtigt opstå: Hvad er formålet? Hvad betyder det for mig, der bruger onlineservices til opbevaring af persondata? Hvad skal jeg helt konkret sørge for? Hvor står Dinero i alt det her?

De spørgsmål samt mange andre vil jeg forsøge at besvare i dette blogindlæg. Jeg lover ikke på forhånd, at det bliver spændende læsning. Det er endda muligvis ikke noget, du behøver forholde dig til i særlig høj grad, hvis du har en lille virksomhed. Men vil du gerne vide mere om emnet, får du her mulighed for at dykke lidt dybere ned i det 🙂

Hvad er GDPR?

The General Data Protection Regulation eller GDPR er det formelle navn fra EU på det, som vi på dansk kalder en persondataforordning. Forordningen blev vedtaget i april 2016, hvor de første spadestik også allerede blev taget. Det overordnede formål med den nye lovgivning er at sikre privatpersoners ret til ejerskab over deres egen data. Mange har talt om Facebook og Google som de to store hovedaktører, men det gælder faktisk al persondata, også den der opbevares i forbindelse med ansættelser, kunder m.v.

For at forstå GDPR bliver vi først nødt til at stifte bekendtskab med et par af de centrale begreber i forordningen. De mest centrale er: Data Subject, Data Controller og Data Processor. Dem kan du læse mere om her:

 1. Et Data Subject er dig, mig og alle andre personer, som har data liggende et sted. Når jeg bliver ansat, får jeg en kontrakt, hvor mit navn, min adresse m.v. står i. Jeg bliver oprettet i et lønsystem, hvor min personlige information står, og i en lang række andre systemer.

  En kunde, vi sælger til, opbevarer vi typisk også informationer om. En e-mail, et navn og en adresse, måske indsamler vi data på andre måder om vores kunders forbrugsvaner på vores hjemmeside, hvis vi har sådan en, eller er du fx kiropraktor eller anden behandler, har du måske en logbog over dine kunders skavanker.

  Når vi taler persondata, er der desuden to underkategorier: Den ene er personhenførbare data, som navn, adresse, email, IP-adresse og lignende. Den anden kategori er personfølsomme data, som gælder fx sygehistorik, seksuel orientering og straffeattest.

  Som navnet antyder, skal vi være mere påpasselige med den personfølsomme data end med personhenførbare data, men begge dele ligger altså under GDPR’s beskyttende frakke.

  I Dinero opbevarer vi blandt andet information om dig som privatperson samt de kunder, du indtaster i systemet. Hvem, der har ansvaret for den data, bliver udpenslet i vores næste to begreber.

 2. Datacontroller er den, der styrer persondataen og dermed bestemmer formålet for opbevaringen og behandlingen. I Dinero bliver du altså controller over dine kunders data. Du lægger dataen ind i Dinero og bestemmer og giver din accept over, hvad den skal bruges til. Datacontrolleren har også ansvaret for dataen på vegne af personen.

  Dinero er foruden ovenstående også datacontroller over de data, du indtaster i systemet om dig selv og de spor, du efterlader på vores hjemmeside. Det er altså data, vi bestemmer formålet med, men hvor du skal give din accept, ligesom det sker i dag igennem betingelserne. Dette stilles der dog nye krav til, som jeg vil beskrive længere nede.

 3. Dataprocessoren behandler persondata på vegne af controlleren. De udfører altså de handlinger, som controlleren har givet accept til, og skal agere ud fra controllerens instruktioner. I Dinero-regi bliver vi processor over dine kunders persondata, som du indtaster i systemet. Samtidig sender vi data videre til vores databehandlere. Vi skal dermed acceptere lignende vilkår hos dem, som du skal hos os, for at sikre, at reglerne overholdes gennem hele kæden.

  Foruden de tre centrale begreber opstiller GDPR også nye krav til opbevaring og behandling af persondata. Tidligere har særligt store IT-virksomheder opbevaret al den data, de kunne komme i nærheden af. Data er viden, og viden er mange penge værd. Det bliver ikke så simpelt at gøre fremadrettet.

Hvilke krav opstiller GDPR?

En central ændring bliver, at du og dine kunder skal give deres utvetydige accept af, at deres persondata indsamles og behandles. I GDPR kalder vi det Consent eller samtykke. GDPR beskriver, at den nye accept ikke må gemmes væk i mange siders betingelser, og det være letforståeligt og letlæseligt, præcist hvad der gives samtykke til.

Disse betingelser skal beskrive et formål med opbevaring og behandling af din persondata. Formål kan spænde vidt, men når formålet ophører, ophører dit samtykke altså ligeledes. Din persondata skal slettes, anonymiseres eller lignende, så det ikke kan ledes tilbage til dig. Det betyder derfor, at man ikke uden hæmning kan opbevare data til al evighed, som man tidligere har kunnet. Foruden ophør af formål skal persondata ligeledes bortskaffes eller anonymiseres således, at det ikke kan spores tilbage til dig, hvis du beder om det. Samtidigt skal du inden dette have mulighed for at få udleveret den data, der er indsamlet om dig, hvis du ønsker det. Således får du mulighed for at tage stilling til, om formål overholdes, og om du gerne vil have det slettet.

Hvad betyder det for mig?

Her i Dinero arbejder vi i øjeblikket hårdt på at komme til at overholde alle de rammer, som GDPR opstiller. Vi er tidligt ude, fordi vi gerne vil være klar i god tid, inden GDPR træder i kraft. Vi har desuden den ressource, der hedder Visma i Norge. De blander sig ikke meget i Dinero til dagligt, men når det kommer til en regulation som GDPR, tilbyder de hjælp og ressourcer, der hjælper os og dermed i sidste ende dig på vej. Her vil mange mindre virksomheder kun have sig selv at læne sig op ad og eventuelt eksterne konsulenter.

Det hele virker måske stort og uoverskueligt, men indlæg som dette giver forhåbentlig ro i sindet. I de tidligere afsnit stiftede vi bekendtskab med, hvad GDPR er, hvad det betyder og de centrale begreber. Nu vil vi se på, hvad det så reelt betyder i praksis.

DPA – Data Processor Agreement

En Data Processor Agreement (DPA) bliver det helt centrale for dig, andre virksomheder og i det hele taget alle, der kontrollerer data. Vi kalder det en Databehandleraftale, og formålet er at have en aftale med sin processor om, præcis hvilke persondata du videregiver, og hvad den kan og må bruges til. Det bliver en form for erhvervsbetingelser for at videregive persondata til en tredjepart.

Det er naturligt, at virksomheder som Dinero ikke er i stand til at lave en individuel aftale med alle 150.000 firmaer, der er oprettet i Dinero. DPA’en bliver derfor en standardaftale, som du som bruger modtager og giver din accept til – hvis du altså ønsker dette. Når DPA’en er på plads, har du altså en aftale med os om, hvordan vi behandler dine kunders data som din dataprocessor. Herunder hvad vi bruger den til, og hvilket formål det har. Aftalen er ganske central for dig som erhvervsdrivende, og arbejder du i flere programmer, hvor du indtaster oplysninger om medarbejdere, kunder og lignende, er det vigtigt, at du indhenter en sådan DPA fra dem alle.

Det er din garanti for, at din leverandør overholder kravene opstillet i GDPR, og for at de selv har hentet en DPA hos deres underleverandører. Med den på plads er der styr på, at dine kunders data kan slettes, anonymiseres og hentes ud af Dinero til dine kunder, hvis du ønsker det. Du overholder altså med en sådan aftale kravene, der er opstillet i GDPR.

Vi forventer at have vores DPA klar i starten af 2. kvartal 2018, så du også i god tid inden 25. maj kan have ro i sindet omkring din brug af Dinero.

Betingelser

Der vil i løbet af foråret inden den 25. maj desuden komme nye og opdaterede betingelser til Dinero. Betingelserne vil indeholde afsnit om de oplysninger, du indtaster om dig selv i systemet.

Det er ikke mange informationer, vi opbevarer om dig, men nogle ting kan vi ikke komme udenom. En IP-adresse, navn, adresse, hvordan du klikker rundt i programmet og lignende. Har du hobbyvirksomhed eller PMV uden CVR-nummer, er det også muligt, at dit CPR-nummer er indtastet.

Alt dette ejer du, og du har krav på at få slettet, hentet ud eller anonymiseret. Dette kommer der nye betingelser til, hvor du skal give din accept, og hvor vores formål med indsamling af din data bliver angivet.

Fx navn og adresse er relevante for at skrive en faktura. Information om hvor du klikker i programmet bruger vi til at optimere siderne, og information om dine klik i hjælpeartikler bruger vi til at give dig de bedst mulige forslag, når du søger i vores hjælpecenter.

Konklusion

Jeg ved godt, at ovenstående kan være en stor mundfuld. Dette er endda kun toppen af det isbjerg, der hedder GDPR. Det er dog også det, som jeg ser som det mest centrale at forholde sig til på nuværende tidspunkt.

Har du givet samtykke til de nye betingelser og en DPA fra Dinero inden 25. maj, kan du altså roligt og trygt fortsætte dit samarbejde og det samme gælder for øvrigt også andre underleverandører, du måtte have, hvor du indtaster persondata.

Jeg vil løbende holde dig opdateret på udviklingen i forhold til GDPR og din brug af Dinero via Facebook, blogindlæg m.v. Kommentarer er desuden velkommen nedenfor, og kommer der mange af de samme spørgsmål, vil indlægget løbende blive opdateret med en FAQ.

Tak, fordi du læste med 🙂

Rasmus Nielsen
Rasmus Nielsen Dinero
Rasmus er en sand "professor" i regnskab og skriver artikler, laver videoer og afholder kurser om både regnskabsemner samt Dinero.

24 kommentarer

 1. Hej Dinero

  Jeg har læst jeres indlæg om GDPR, fordi jeg interesserer mig for emnet. Jeg har som advokat og certificeret persondatarådgiver ca. 75 % af min tid med persondata.

  Der er et par ting, der er lidt misforståede. Sondringen personhenførbar/personfølsom er forkert. Hvis oplysninger ikke er personhenførbare, er det slet ikke personoplysninger, så alle oplysninger, som GDPR beskæftiger sig med er personhenførbare. Disse oplysninger kan så være almindelige personoplysninger eller særlige kategorier af personoplysninger. GDPR bruger ikke udtrykket “følsomme” oplysninger eller personfølsomme oplysninger.

  Derudover er det forkert at sige, at al behandling af personoplysninger kræver samtykke. Det kan også være tilstrækkeligt grundlag for behandling af personoplysninger, at man skal opfylde en kontrakt med den registrerede (datasubjektet), eller at man skal opfylde en lovforpligtelse, f.eks. bogføringsloven.

 2. Hvad betyder for vores forhold over for vores kunder. Er der noget vi skal være opmærksom på der.

 3. Hej 🙂

  Loven har ingen operativ betydning for jer; det betyder blot, at vi som firma er bekendt med loven og naturligvis gør vores for at sikre jeres kunders data ift. vores egen datasikkerhed og oplæring af personalet 🙂

  I kan med andre ord blot fortsætte ganske som I plejer.

 4. Hej Karsten 🙂

  Først og fremmest tak for din feedback og din indsigt. Det kan godt være at opslaget virker en smule simplificeret eller misvisende i dine øjne, men det er som sådan heller ikke tiltænkt eksperter, alligevel skal al information naturligvis være retvisende.

  Grunden til at jeg i indlægget skelner mellem den personfølsomme og henførbare data er fordi at begge dele ligger under GDPR, men at den følsomme data alt andet lige er en man skal være mere påpasselig med, ikke i forhold til GDPR, men i det hele taget i lovgivningen.

  I forhold til din henvisning til regler om lov- og kontraktligt grundlag for behandling, er det ikke noget jeg ser som centralt for vores målgruppe, samt at i vores indsamling af data fra jer, der bruger Dinero har vi ikke disse muligheder. Ergo udarbejder vi en databehandleraftale, samt betingelser hvor der gives samtykke, som vil dække vores brugeres behov. 🙂

  Jeg håber ovenstående svar giver lidt bedre indsigt i mit valg af ord. 🙂

  De bedste hilsner, Rasmus

 5. Hej

  De oplysninger vi som brugere indtaster i andre programmer der kommunikerer med Dinero, skal vi have oprettet en databehandleraftale med dem, eller er det noget I skal gøre?

  Mvh Per

 6. Hej Per,

  Min kollega Rasmus der ved noget om vores GDPR er tilbage på mandag, så vil han svare dig 🙂

  De bedste hilsner, Lasse – Dinero

 7. Hej Per 🙂

  Du har fat i den lange ende her. Bruger du eksterne programmer skal du naturligvis også have en databehandleraftale med dem, inden fristen d. 25 maj. Det at Dinero kan modtager data fra dem automatisk, undtager dig desværre ikke, og vi har ikke mulighed for at indhente en aftale i jeres navn.

  Helt konkret vil det være smart at lave en liste med alle systemer man taster persondata i, så man har en overblik over hvor man taster, og så tage den derfra, så man kan holde styr på det. 🙂

  De bedste hilsner, Rasmus – Dinero

 8. Hej Rasmus, hvor lang er I med jeres databehandleraftale ? Overholder Dinero retningslinjer for opbevaring af personfølsommedata som eks. cpr nr.. Dette er ofte en nødvendig oplysning i en EAN faktura til en offenlig myndighed. Vil opbevaring af sikkerhedskopi på Dropbox være i overensstemmelse med GDPR? På forhånd tak for svar Jonas

 9. Hej Jonas 🙂

  Vi er rigtig godt på vej, nu kommer der lige en påske, men vi arbejder på højtryk på at få den klar, også i god tid inden 25. maj. 🙂

  Alle regler bliver overholdt, og vi vil også arbejde på at forbedre sikkerheden i Dinero løbende, så du ikke behøver være bekymret for din data, så vi faktisk går over det påkrævede. Vi vil nemlig gerne være mere sikker end bare det loven forskriver. Vi anbefaler dog på nuværende tidspunkt, og vil også fremadrettet, at man undlader at indtaste de sidste 4 cifre af CPR-numre, både i Dinero og ved udsendelse. Det er nemlig ikke påkrævet at man gør det fra det offentlige(i den kommunikation vi har modtaget), og der er ingen grund til at taste det, hvis det ikke er absolut nødvendigt. 🙂

  Hvis det viser sig at være nødvendigt, kan du dog godt påføre det, og udsende igennem EAN. Du skal dog ikke anvende udsendelsen igennem Dinero hvis det skal foregå via. email, men i stedet en email du selv har, der er signeret. Det kan vi ikke gøre direkte i Dinero på nuværende tidspunkt.

  Du kan sagtens bruge Dropbox, og have en backup der, men det kræver at du indhenter en databehandleraftale med dem, ligesom den der vil komme fra Dinero. Dropbox fungerer eksternt fra Dinero, vi har godt nok en mulighed for du kan sende data dertil, men det vil stadig kræve at din opbevaring hos dem, sker igennem en databehandleraftale udstedt til dit firma. 🙂

  Jeg håber ovenstående besvare dine spørgsmål, og husk du altid skal være velkommen til at stille de spørgsmål du har til GDPR. Hvis du har noget specifikt for dig, må du også gerne rette sådan en henvendelse til vores support, på support@dinero.dk, så ender det nemlig også i mine hænder. 🙂

 10. Hej – jeg er medarbejder på et privat opholdssted, som sender regninger til kommunen, som iflg. kommunen skal indeholde cpr-nr. for at de kan kontere rigtigt. Hvad betyder det for mig – er regningsfremsendelsen til deres EAN sikker nok?

 11. Hej Dinero Hvordan forholder I jer til sletning/anonymisering af data. Har I implementeret funktionalitet som automatisk tager sig af denne del ud fra relevante dele af lovgivningen og i så fald hvor længe opbevares data før de slettes/anonymiseres?

 12. Hej i to 🙂

  Til Jens – Ja det er helt fint. Udsendelse igennem EAN er krypteret. Vi anvender et firma der hedder Sproom og vil naturligvis have en databehandleraftale med dem, for at sikre at de overholder alle regler deromkring. Det vil i øvrigt også blive en del af vores egen DPA, som kommer inden 25. maj. 🙂

  Til Nicklas – Så længe man har en bruger i Dinero holder vi den data vi er ansvarlige på, det gør vi fordi man har en aktiv relation til programmet. Når det forhold ophøre (Hvis man får sin bruger slettet), så forsvinder alt person henførbar data også. 🙂 For at besvare dit spørgsmål – persondata opbevares så længe vi har et formål(at du kan have en bruger), når det udløber, sletter vi det. 🙂

 13. Hej Rasmus

  Tak for dit svar. Jeg kan se at jeg ikke har udtrykt mig klart nok i mit spørgsmål, det beklager jeg. Jeg tænkte mere på de kundeoplysninger som jeg opbevarer i Dinero. Opbevares de i 5 år hvorefter de anonymiseres eller hvordan foregår det?

 14. Hej Nicklas 🙂

  Ja så ramte jeg lidt ved siden af. 😀

  Dine kunders data ejer du, det vil sige når du sletter dem fra Dinero, er de slettet. Så er der naturligvis en sikkerheds backup af vores system, som bliver overskrevet løbende. Den holder i omkring 3 måneder, men bliver altså kun brugt som en fuld backup af systemet, ikke som et sted vi bruger til at genskabe ting fra. Så teknisk set går der et par måneder, inden dataen er helt bort. 🙂

  De bedste hilsner, Rasmus

 15. Hej Rasmus. Jeg bruger jeres bogføringssystem og er meget tilfreds med det, men skal jeg have en databehandleraftale med Jer, for at kunne overholde reglerne fra GDPR? Måske har jeg overset det i din beskrivelse, men håber du kan hjælpe?

 16. Hej Christina 🙂

  Det står godt nok i den meget lange tekst, i punktet der hedder “DPA”. Det er bare det engelske begreb som forordningen kalder det, men det er præcist det samme som en databehandleraftale som det hedder sig på dansk. 🙂

  Vi har den klar inden 25. maj, og jeg lover vi nok skal skrive en email når den ligger klar til dig. Det burde ske inden ganske længe, så du også allerede før 25. maj fortsat trygt kan arbejde videre med Dinero. 😀

  De bedste hilsner, Rasmus

 17. Hej Rasmus,

  Jeg er i tvivl om hvorvidt I allerede har udsendt “DPA”en? Ikke for at stresse nogen 🙂 Vil bare gerne sikre mig at jeg ikke er kommet til at slette mailen.

  Bedste hilsner Vinni Bekmose

 18. Hej 🙂

  Den er endnu ikke udsendt, men bliver klar inden d. 25 maj hvor alle modtager en mail omkring det. Denne uge er hele Dinero holdet samlet for udelukkende at færdigegøre det sidste på den

  De bedste hilsner, Frederik Nielsen

 19. Ak ja, ak ja. Alle de love og paragraffer i mange varianter og detaljer… Vi bliver helt trætte. Så meget om så lidt. jeg foretrækker at holde mig til de 10 bud og ånden bag dem. Det er meget nemmere…. Lade Vorherre forvandle os, så vi bliver uselviske og næstekærlige. Og Så er fordelen også, at vi går fri af dommen ved verdens ende og vi får et evigt liv uden IT, sygdom, død, depressioner, stress og alt det andet, vi i bund og grund gerne vil være fri for. Lad os hellere overgive os til ham, der kan forvandle os inden den yderste dag, uanset hvilken gruppe/religion, vi er nu havnet i. Ha fortsat en dejlig dag, og husk at nyde Vorherres gode vejr. 🙂 Blot et hjertesuk herfra. 🙂

 20. Hej Kenneth og tusind tak for det opmuntrende budskab, det skriver vi os bag øret. 😀

  De bedste hilsner, Rasmus

 21. Hej Rasmus Har jeg som enkeltmandsfirma ifht. mine kunder behov for at skrive til mine kunder, at deres oplysninger opbevares hos mig via Dinero? Eller på anden måde “gøre det rigtige” i den her proces?

  Jeg fisker lidt efter, om der er en “linie” jeg kan tilføre i mine kundemails eller på mine fakturaer – eller om der er en anden god metode, som jeg kan benytte mig af – uden at jeg skal alt for langt ned i juridisk tekstskrivning med de fejl, som det kan medføre…

  På forhånd tak Connie

 22. Hej Connie,

  Selve din håndtering af GDPR, er desværre ikke noget vi kan vejlede dig i, da vi ikke er jurister.

  Det er noget du skal kunne oplyse dine kunder, men mere kan jeg desværre ikke oplyse dig 🙂

  De bedste hilsner Lasse – Dinero

 23. Hej Dinero,

  For at følge lidt op på Nicklas Askøs spørgsmål vedr. sletning af kontakter.

  Med GDPR er det ikke længere lovligt at opbevarer persondata “i al evighed”. For et regnskabsprogram vil det vel typisk være data på personer, der ikke er bogført på inden for 6 år.

  Jeg savner derfor en funktion i Dinero, der kan filtrerer og slette kontakter, som ikke har handlet hos os inden for en given årrække.

  Endvidere er bogføringsmateriale med fakturaer i sig selv vel også persondata, der skal kunne slettes, efter bogføringslovens krav om 5 år fra udgangen af det regnskabsår, som materialet vedrører?

  Kan regnskabsår, der ligger længere tilbage slettes i Dinero? (Vi har kun regnskab i Dinero tilbage fra 2014).

  Mvh Lars Hansen

 24. Hej Lars 🙂

  Det kommer helt an på den individuelle aftale du har med din kontakt. Så længe du har et formål med behandling må du opbevare den data. Så kan vi godt blive enige om, at en kunde du ikke har haft forretning med i flere år, ja, der er nok ikke længere et formål med at kende til dem. 😉

  Det vil nok være oplagt at slette kontakter efter f.eks. 1 år, vi gennemgår selv løbende den persondata vi har om jer kunder, ja det kan være en større proces, men den er nødvendig ifølge den ny lovgivning, og essentielt set måske også fornuftig nok.

  Så i forhold til regnskab og bogføring. Jeg vil ikke anbefale dig at slette gamle regnskabsår, da det vil lave kludder i din åbningsbalance bagudrettet. Derimod vil jeg slette de ting som indeholder personoplysninger, og som anden lovgivning (f.eks. bogføringsloven) ikke tillader dig at opbevare, og efter 5 år har du ret i, at det også gælder faktura. Muligheden for f.eks. at kunne slette et helt regnskabsår, er dog ikke nødvendigvis en helt dårlig idé, så den vil jeg lige tage med videre. 😉

  De bedste hilsner, Rasmus

Kommentarer er lukket.

Gør som 0 virksomheder

Brug Danmarks mest anbefalede regnskabsprogram