Databeskyttelse

GDPR-software til SMV'er 2026: valg, priser og krav

GDPR-software til SMV'er 2026: hvad små og mellemstore danske virksomheder reelt har brug for, priser fra 600 kr./måned og de funktioner der afgør et tilsyn.

Also available in:English·lv

GDPR-software til SMV’er skal løse fire konkrete opgaver, som små og mellemstore danske virksomheder ikke har ressourcer til at gøre manuelt: holde en ajourført fortegnelse over behandlingsaktiviteter (artikel 30), gennemgå databehandleraftaler med leverandører (artikel 28), håndtere indsigtsanmodninger inden for fristen (artikel 15) og anmelde sikkerhedsbrud inden 72 timer (artikel 33). Det rigtige værktøj for en dansk SMV er en EU-baseret platform med dansk output, fast pris fra cirka 600-2.250 kr. om måneden og AI-drevet automatisering, så én person kan holde programmet ajour. Legiscope er bygget til netop dette segment. Denne guide gennemgår, hvad en SMV reelt har brug for – og hvad man kan spare væk.

Gælder GDPR overhovedet for min lille virksomhed?

Ja. En udbredt misforståelse er, at undtagelsen i artikel 30, stk. 5, fritager virksomheder under 250 ansatte fra at føre en fortegnelse. Det gør den ikke i praksis. Undtagelsen gælder kun, hvis behandlingen er lejlighedsvis, ikke omfatter følsomme oplysninger og ikke udgør en risiko. Enhver virksomhed, der har medarbejdere, driver en hjemmeside med analyseværktøjer eller har et kunderegister, behandler personoplysninger regelmæssigt og skal derfor føre en fortegnelse. Størrelsen ændrer ikke på pligterne – kun på ressourcerne til at opfylde dem, og det er præcis dér, software gør forskellen.

Hvad har en SMV reelt brug for?

En SMV har ikke brug for det samme som en koncern med et privatlivsteam. Kernebehovet er:

Funktion Hvorfor en SMV skal have det Nice-to-have eller must-have?
Fortegnelse (art. 30) Første dokument Datatilsynet beder om Must-have
Databehandleraftaler (art. 28) Hver cloud-leverandør kræver en Must-have
Indsigtsanmodninger (art. 15) Én måneds svarfrist Must-have
Brudanmeldelse (art. 33) 72-timersfrist Must-have
DPIA (art. 35) Kun ved behandlinger med høj risiko Situationsbestemt
Cookie-samtykke Kun hvis I har en hjemmeside med tracking Situationsbestemt
ISO 27001 / SOC 2 Kun hvis kunder kræver certificering Sjældent for SMV’er

Pointen er, at en SMV skal betale for kernefunktionerne og undgå de brede virksomhedssuiter, hvor 80 procent af funktionerne aldrig bliver brugt. Se den fulde funktionssammenligning i GDPR-software sammenligning.

De tre kriterier der betyder mest for en dansk SMV

  • Dansk output. Fortegnelsen, privatlivspolitikker og svar på indsigtsanmodninger læses af medarbejdere, kunder og Datatilsynet. En platform, der kun leverer engelsk, skaber ekstra arbejde i hvert led.
  • EU-hosting. En platform hostet i USA tilføjer forpligtelser om overførselsgrundlag. En EU-baseret platform fjerner det problem – og passer til den danske databeskyttelseslov.
  • Automatisering. En SMV har sjældent en fuldtids DPO. AI-drevet generering af fortegnelse og aftalegennemgang er forskellen på et program, der holdes ajour, og et der forældes.

Hvor meget koster det?

For en SMV er den realistiske pris 10.000-40.000 kr. om året for en ren GDPR-platform. Legiscope ligger fra cirka 750 kr. om måneden, Dastra fra cirka 600 kr. om måneden. Mellemsegmentet (Vanta, Sprinto) starter højere og giver kun mening, hvis I samtidig har brug for SOC 2 eller ISO 27001. Virksomhedssuiter som OneTrust er overdimensionerede og for dyre for de fleste SMV’er. Se den fulde prisgennemgang for prismodeller og skjulte omkostninger.

Fælder danske SMV’er falder i

  • At tro at man er undtaget. Artikel 30, stk. 5, fritager næsten ingen reelt. Vurderingen bør dokumenteres, også hvis man konkluderer, at en fortegnelse ikke er nødvendig.
  • At købe for stort. En virksomhedssuite med hundredvis af funktioner er sværere at bruge og dyrere end en ren GDPR-platform bygget til SMV’er.
  • At glemme databehandleraftalerne. Hver leverandør – hosting, løn, e-mail, analyseværktøjer – kræver en aftale efter artikel 28. Manglende aftaler er en klassisk fejl i tilsynssager.
  • At behandle det som et engangsprojekt. Fortegnelsen forældes, så snart en ny leverandør eller behandling tilføjes. Uden løbende vedligeholdelse er dokumentationen værdiløs ved et tilsyn.

Hvorfor manuel efterlevelse ikke skalerer for en SMV

En SMV har typisk 20-80 behandlingsaktiviteter og 15-40 leverandører. At holde det ajour i Excel kræver, at nogen husker at opdatere regnearket, hver gang der tilføjes en ny leverandør, ændres et formål eller udløber en sletningsfrist. I praksis sker det ikke, og fortegnelsen forældes inden for uger. En platform, der automatisk kobler behandlinger til databehandleraftaler og overvåger frister, gør forskellen på et program, der ser godt ud på papiret, og et, der holder, når Datatilsynet beder om dokumentationen. Det er derfor, den relevante sammenligning ikke er software mod ingenting, men software mod hundredvis af interne timer, som en SMV sjældent har.

Gratis værktøjer og skabeloner: hvornår er de nok?

Mange danske SMV’er starter med gratis skabeloner – en fortegnelse-skabelon, en databehandleraftale-skabelon og en privatlivspolitik i et tekstdokument. Det er et fornuftigt udgangspunkt for en helt nystartet virksomhed med få behandlinger, og det er bedre end ingenting. Men skabeloner har en klar grænse: de er statiske. De opdaterer ikke sig selv, når en ny leverandør tilføjes, de kobler ikke behandlinger til aftaler, og de overvåger ikke sletningsfrister eller svarfrister på indsigtsanmodninger. For en virksomhed med mere end en håndfuld behandlinger bliver vedligeholdelsen af skabelonerne hurtigt en byrde, der overstiger prisen på et værktøj, der gør det automatisk. En pragmatisk vej er derfor at starte med skabeloner for at forstå strukturen og skifte til en platform, når antallet af behandlinger og leverandører gør manuel vedligeholdelse uoverskuelig – typisk allerede ved 15-20 behandlinger.

Kom i gang: en praktisk rækkefølge for en SMV

  1. Kortlæg jeres behandlinger og opret en fortegnelse efter artikel 30.
  2. Saml alle leverandører og indgå eller gennemgå databehandleraftaler.
  3. Fastlæg retsgrundlaget for hver behandling.
  4. Opret privatlivspolitikker og et arbejdsflow for indsigtsanmodninger.
  5. Etabl er en procedure for brudanmeldelse inden for 72 timer.
  6. Vælg en platform, der automatiserer trin 1-5 med dansk output.

For en overordnet forståelse af de danske rammer, se databeskyttelse i Danmark, og for rangeringen af værktøjer bedste GDPR-software.

SMV-eksempler efter branche

Behovet varierer med branchen, også blandt SMV’er:

  • Håndværk og byggeri: typisk få behandlinger (medarbejdere, kunder, underleverandører), men ofte glemte databehandleraftaler med it- og lønleverandører. Kernebehovet er en simpel fortegnelse og styr på aftalerne.
  • Webshop og e-handel: mange samtykker, cookie-tracking, nyhedsbreve og internationale overførsler via analyse- og betalingsleverandører. Her er automatiseret aftalegennemgang og en klar privatlivspolitik vigtigst.
  • Klinikker og mindre plejevirksomheder: behandling af følsomme sundhedsoplysninger, ofte med krav om en konsekvensanalyse og skærpede sletningsfrister. Selv en lille virksomhed kan her være tæt på tærsklen for en databeskyttelsesrådgiver.
  • Rådgivning og bureauer: ofte databehandler for kunder, hvilket kræver en fortegnelse over behandlinger udført på andres vegne og ryddelige databehandleraftaler i begge retninger.

Pointen er, at “SMV” ikke er én størrelse. En webshop og en klinik har vidt forskellige risikoprofiler, men fælles for dem er, at manuel håndtering hurtigt bliver uoverskuelig.

Hvornår skal en SMV opgradere til mere?

De fleste danske SMV’er kan nøjes med en ren GDPR-platform i mange år. Men der er tre situationer, hvor behovet vokser. Den første er, når kunder begynder at kræve certificeringer som ISO 27001 eller SOC 2 – typisk i forbindelse med større B2B-aftaler; her kan et multiframework-værktøj give mening som supplement. Den anden er, når virksomheden bliver omfattet af NIS2 eller DORA, fordi den vokser ind i en omfattet sektor eller passerer størrelsestærsklen; her er en platform, der kan udvides med cybersikkerheds- og leverandørmoduler, en fordel. Den tredje er, når antallet af behandlinger og medarbejdere vokser så meget, at der reelt bliver brug for en databeskyttelsesrådgiver. Det gode råd er ikke at købe for stort på forhånd, men at vælge en platform, der kan følge med, når behovet faktisk opstår.

Ofte stillede spørgsmål

Hvad koster GDPR-software til en SMV?

10.000-40.000 kr. om året for en ren GDPR-platform. Legiscope fra cirka 750 kr./måned, Dastra fra cirka 600 kr./måned. Undgå virksomhedssuiter, medmindre I har et dedikeret privatlivsteam – de er dyrere og bredere, end en SMV har brug for.

Har en SMV brug for en databeskyttelsesrådgiver?

Kun hvis kerneaktiviteten indebærer systematisk overvågning i stor skala eller behandling af følsomme oplysninger i stor skala. De fleste danske SMV’er er ikke omfattet, men vurderingen bør dokumenteres. Software erstatter ikke en DPO, men reducerer arbejdsbyrden markant.

Kan en lille virksomhed selv implementere GDPR-software?

Ja. De rene SMV-platforme er selvbetjente og kræver ikke konsulentbistand. Med AI-drevet import kan en eksisterende Excel-fortegnelse flyttes ind på timer frem for uger, hvilket er en af de vigtigste forskelle på SMV-værktøjer og virksomhedssuiter.

Konklusion

GDPR-software til SMV’er handler om at betale for det, man reelt skal bruge – fortegnelse, databehandleraftaler, indsigtsanmodninger og brudanmeldelse – på en EU-baseret platform med dansk output og fast pris. Undtagelsen for virksomheder under 250 ansatte fritager næsten ingen, og manuel efterlevelse skalerer ikke, når antallet af behandlinger og leverandører vokser. For de fleste danske SMV’er er en ren GDPR-platform som Legiscope til 10.000-40.000 kr. om året både billigere og mere brugbar end en overdimensioneret virksomhedssuite. Start med kernefunktionerne, hold fortegnelsen levende, og behandl efterlevelse som en løbende proces.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →