Databeskyttelse

Software til fortegnelse (ROPA) 2026: artikel 30-værktøjer

Software til fortegnelse over behandlingsaktiviteter (ROPA) 2026: krav i artikel 30, udvalgskriterier og priser. Fra regneark til levende register.

Also available in:English·Svenska·Deutsch·Français·Español·lv

Software til fortegnelse over behandlingsaktiviteter automatiserer den dokumentation, som artikel 30 i databeskyttelsesforordningen kræver: en struktureret oversigt over alle en virksomheds behandlinger med formål, kategorier af registrerede og oplysninger, modtagere, overførsler, sletningsfrister og sikkerhedsforanstaltninger. For en dansk virksomhed er det rigtige værktøj i 2026 en EU-baseret platform, der genererer fortegnelsen fra guidede spørgeskemaer, kobler hver behandling til den tilhørende databehandleraftale og holder registeret ajour automatisk – til en pris fra cirka 600-2.250 kr. om måneden. Fortegnelsen er det første dokument, Datatilsynet beder om i en tilsynssag, og et forældet regneark er både en selvstændig overtrædelse og et signal om, at resten af programmet ikke er på plads. Denne guide gennemgår kravene, kriterierne og hvordan man kommer fra Excel til et levende register.

Hvad kræver artikel 30?

Artikel 30 pålægger både dataansvarlige og databehandlere at føre en fortegnelse. For dataansvarlige skal fortegnelsen indeholde:

  • Navn og kontaktoplysninger på den dataansvarlige og en eventuel databeskyttelsesrådgiver
  • Formålene med hver behandling
  • Kategorier af registrerede og af personoplysninger
  • Kategorier af modtagere
  • Eventuelle overførsler til tredjelande og grundlaget for dem
  • De forventede sletningsfrister for hver kategori
  • En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger

For databehandlere er kravene lidt anderledes og fokuserer på, hvilke behandlinger der udføres på vegne af hvilke dataansvarlige. En dansk virksomhed er ofte begge dele samtidig og skal derfor føre to sammenhængende fortegnelser.

Gælder undtagelsen for min virksomhed?

Artikel 30, stk. 5, indeholder en undtagelse for virksomheder under 250 ansatte – men den er snævrere, end mange tror. Undtagelsen gælder kun, hvis behandlingen er lejlighedsvis, ikke omfatter følsomme oplysninger og ikke udgør en risiko for de registrerede. Enhver virksomhed med medarbejdere behandler lønoplysninger regelmæssigt, og enhver virksomhed med et kunderegister behandler personoplysninger systematisk. I praksis skal stort set alle danske virksomheder føre en fortegnelse. Vurderingen bør dokumenteres – også hvis man mod forventning konkluderer, at undtagelsen gælder.

Hvorfor regneark ikke holder

De fleste danske virksomheder starter med fortegnelsen i Excel. Det fungerer i begyndelsen, men skalerer dårligt af tre grunde:

  • Det forældes. Hver gang en ny leverandør, et nyt system eller et nyt formål tilføjes, skal regnearket opdateres manuelt. I praksis sker det ikke, og fortegnelsen forældes inden for uger.
  • Det kobler ikke. Et regneark kan ikke automatisk vise, hvilke behandlinger der mangler et retsgrundlag, en sletningsfrist eller en databehandleraftale.
  • Det er svært at fremvise. Ved et tilsyn skal fortegnelsen kunne fremlægges struktureret og ajourført. Et rodet regneark signalerer det modsatte af kontrol.

Software til fortegnelse løser disse problemer ved at gøre registeret til en levende database frem for et statisk dokument.

Udvalgskriterier

Kriterium Hvorfor det betyder noget Minimumskrav
Guidet oprettelse Reducerer juristtimer AI- eller spørgeskemabaseret generering
Kobling til databehandleraftaler Art. 28 og art. 30 hænger sammen Hver behandling koblet til sin aftale
Fristovervågning Sletningsfrister skal overholdes Automatiske påmindelser
Dansk eksport Fremvisning for Datatilsynet Fuldt dansk output
EU-hosting Undgår tredjelandsoverførsel Data i EU
Versionering Sporbarhed ved ændringer Historik over ændringer

De obligatoriske felter: hvad fortegnelsen skal indeholde

En brugbar fortegnelse er mere end en liste over systemer. For hver behandling bør den som minimum angive: behandlingens navn og formål, retsgrundlaget efter artikel 6 (og artikel 9 ved følsomme oplysninger), kategorierne af registrerede og af oplysninger, modtagere og eventuelle databehandlere, overførsler til tredjelande og grundlaget herfor, sletningsfristen og en beskrivelse af sikkerhedsforanstaltningerne. Netop retsgrundlaget og sletningsfristen er de felter, danske virksomheder oftest udelader i regnearksbaserede fortegnelser – og det er præcis de felter, der har været omdrejningspunktet i flere danske bødesager. Et værktøj, der kræver, at hvert felt udfyldes, og som markerer behandlinger uden retsgrundlag eller sletningsfrist, tvinger de mangler frem, som et frit regneark lader passere ubemærket.

Softwarealternativer

Alle seriøse GDPR-platforme indeholder fortegnelsesfunktioner, men dybden varierer. AI-drevne platforme – som Legiscope – genererer fortegnelsen fra guidede spørgeskemaer på minutter og kobler automatisk til databehandleraftaler; det er den hurtigste vej fra ingenting til et brugbart register. Skabelonbaserede værktøjer (Dastra, Sprinto) giver en struktur, men kræver mere manuelt arbejde. Virksomhedssuiter (OneTrust) har omfattende skabelonbiblioteker, men er overdimensionerede for de fleste danske SMV’er. Sammenlign funktionerne bredere i GDPR-software sammenligning og se rankingen i bedste GDPR-software.

Sådan kommer du fra Excel til platform

En pragmatisk fremgangsmåde for en dansk virksomhed: eksportér den eksisterende fortegnelse fra Excel, importér den til værktøjet (de bedste platforme har AI-drevet import, der strukturerer felterne), gennemgå og suppler de behandlinger, der mangler retsgrundlag eller sletningsfrist, kobl hver behandling til den tilhørende databehandleraftale, og etabl er en rutine, hvor nye behandlinger tilføjes, efterhånden som de opstår. Regn med nogle dages arbejde for en SMV, hvoraf hovedparten går til at supplere det, regnearket allerede manglede, snarere end til selve migreringen. Se den overordnede danske ramme i databeskyttelse i Danmark.

Fortegnelsen som fundament for resten

Fortegnelsen er ikke bare et krav i sig selv – den er fundamentet for resten af GDPR-programmet. Indsigtsanmodninger besvares ud fra, hvad fortegnelsen viser om, hvor oplysningerne behandles. Konsekvensanalyser (DPIA) tager udgangspunkt i de behandlinger, fortegnelsen dokumenterer. Sikkerhedsforanstaltningerne efter artikel 32 – og de overlappende krav i NIS2 – kobles til de enkelte behandlinger. Et værktøj, der gør fortegnelsen til det centrale register, som alt andet hænger på, giver derfor værdi langt ud over selve artikel 30-pligten. Det er forskellen på en fortegnelse, der lever, og en, der forældes i en delt mappe.

Fortegnelse for dataansvarlig kontra databehandler

En dansk virksomhed er ofte begge dele samtidig, og fortegnelsen skal afspejle begge roller. Som dataansvarlig fører man fortegnelsen over egne behandlinger – løn, kundedatabase, markedsføring – med formål, kategorier, modtagere, overførsler og sletningsfrister. Som databehandler fører man en anden fortegnelse over de behandlinger, man udfører på vegne af sine kunder, med angivelse af hvilke dataansvarlige man arbejder for, og hvilke kategorier af behandling man udfører. Et rådgivningsbureau eller en it-leverandør skal derfor typisk vedligeholde begge fortegnelser. Et godt værktøj håndterer denne dobbelthed og gør det klart, hvilke behandlinger der hører til hvilken rolle – noget et fladt regneark sjældent gør. Rollefordelingen har betydning for hele ansvarsfordelingen og bør hænge sammen med de databehandleraftaler, virksomheden indgår i begge retninger.

Sådan holder du fortegnelsen levende

Den hyppigste fejl er ikke at oprette fortegnelsen, men at lade den forældes. En fortegnelse er kun værd noget, hvis den afspejler virkeligheden på det tidspunkt, Datatilsynet beder om den. Det kræver en rutine: hver gang en ny leverandør tages i brug, en ny behandling påbegyndes, eller et formål ændres, skal fortegnelsen opdateres. I praksis fungerer det bedst, når opdateringen indbygges i eksisterende processer – for eksempel når indkøb godkender en ny leverandør, eller når HR indfører et nyt system. Et værktøj, der sender påmindelser om udløbne sletningsfrister og gør det let at tilføje en behandling, øger sandsynligheden for, at rutinen faktisk følges. En fortegnelse, der opdateres én gang om året i panik inden et muligt tilsyn, er langt mindre værd end en, der vedligeholdes løbende. For virksomheder, der vil starte fra en struktur, findes der en fortegnelse-skabelon som udgangspunkt, men skabelonen erstatter ikke den løbende vedligeholdelse.

Fortegnelsen og databeskyttelsesrådgiveren

Hvor virksomheden har en databeskyttelsesrådgiver, er fortegnelsen et af rådgiverens vigtigste arbejdsredskaber. Rådgiveren bruger fortegnelsen til at overvåge efterlevelsen, identificere behandlinger med høj risiko, der kræver en konsekvensanalyse, og rådgive ledelsen om nye behandlinger. En struktureret, ajourført fortegnelse gør rådgiverens arbejde muligt; et rodet regneark gør det næsten umuligt. Selv uden en formel rådgiver har den person, der har ansvaret for databeskyttelse i en dansk SMV, brug for det samme overblik.

Ofte stillede spørgsmål

Hvad koster software til fortegnelse?

En ren GDPR-platform med fortegnelsesfunktioner koster 10.000-40.000 kr. om året for en SMV (Legiscope fra cirka 750 kr./måned, Dastra fra cirka 600 kr./måned). Prisen dækker typisk også databehandleraftaler og indsigtsanmodninger, så fortegnelsen sjældent købes isoleret. Se den fulde prisgennemgang.

Skal en lille virksomhed føre en fortegnelse?

Ja, i praksis næsten altid. Undtagelsen i artikel 30, stk. 5, gælder kun for lejlighedsvis behandling uden følsomme oplysninger og uden risiko – hvilket næsten ingen virksomhed med medarbejdere eller kunder opfylder. Vurderingen bør dokumenteres.

Kan jeg føre fortegnelsen i Excel?

Juridisk set ja, men det holder sjældent i praksis. Et regneark forældes hurtigt, kobler ikke behandlinger til databehandleraftaler og er svært at fremvise struktureret ved et tilsyn. For alt andet end de mindste virksomheder er en platform både billigere i tid og mere robust ved et tilsyn.

Konklusion

Software til fortegnelse gør artikel 30-pligten til et levende register frem for et dødt regneark. For danske virksomheder er kernekriterierne guidet oprettelse, automatisk kobling til databehandleraftaler, fristovervågning og dansk eksport – alt sammen på EU-baseret infrastruktur. Fortegnelsen er det første, Datatilsynet beder om, og fundamentet for resten af GDPR-programmet, fra indsigtsanmodninger til konsekvensanalyser. En AI-drevet platform som Legiscope gør vejen fra Excel til et ajourført register kort, og gør registeret til det centrale værktøj, resten af efterlevelsen hænger på.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →