Databeskyttelse

Software til indsigtsanmodninger (DSAR) 2026: håndtér artikel 15

Software til indsigtsanmodninger (DSAR) 2026: håndtér indsigtsretten efter artikel 15 inden fristen. Krav, kriterier og priser for danske virksomheder.

Also available in:English·lv

Software til indsigtsanmodninger automatiserer håndteringen af den registreredes rettigheder efter databeskyttelsesforordningen, særligt indsigtsretten i artikel 15: retten til at få bekræftet, om der behandles oplysninger om den pågældende, at få adgang til dem og at modtage en række oplysninger om behandlingen. For en dansk virksomhed er det rigtige værktøj i 2026 en platform, der modtager anmodninger struktureret, sporer fristen, søger på tværs af systemer ud fra fortegnelsen og genererer et svar på dansk – til en pris fra cirka 600-2.250 kr. om måneden som del af en GDPR-platform. Fristen er én måned fra modtagelsen, og manglende overholdelse er en klassisk kilde til klager til Datatilsynet. Denne guide gennemgår kravene, fristerne og hvordan software gør en ellers tidskrævende proces håndterbar.

Hvad er en indsigtsanmodning?

En indsigtsanmodning (på engelsk data subject access request, DSAR) er en henvendelse fra en registreret, der udnytter sin ret efter artikel 15. Den registrerede har ret til at få:

  • Bekræftelse på, om virksomheden behandler oplysninger om vedkommende
  • En kopi af de oplysninger, der behandles
  • Formålene med behandlingen
  • Kategorierne af oplysninger
  • Modtagere eller kategorier af modtagere
  • Den forventede opbevaringsperiode
  • Oplysning om retten til berigtigelse, sletning og indsigelse
  • Oplysning om kilden, hvis oplysningerne ikke er indsamlet hos den registrerede

Ud over indsigtsretten omfatter registreredes rettigheder også berigtigelse (art. 16), sletning (art. 17), begrænsning (art. 18), dataportabilitet (art. 20) og indsigelse (art. 21). En god platform håndterer dem alle i samme arbejdsflow.

Fristerne: hvad gælder?

Hovedreglen er, at anmodningen skal besvares uden unødig forsinkelse og senest en måned fra modtagelsen. Fristen kan forlænges med yderligere to måneder, hvis anmodningen er kompleks eller der er tale om mange anmodninger – men den registrerede skal underrettes om forlængelsen inden for den første måned med en begrundelse. Første kopi er som udgangspunkt gratis; for yderligere kopier kan der opkræves et rimeligt gebyr. En platform, der starter fristuret ved modtagelsen og sender påmindelser, gør forskellen på at overholde og overskride fristen.

Hvorfor manuel håndtering er risikabel

At håndtere indsigtsanmodninger manuelt er en af de mest undervurderede risici i et GDPR-program:

  • Fristen glider. Uden et system til at spore fristen overskrides den let, især i ferieperioder.
  • Søgningen er svær. At finde alle oplysninger om én person kræver, at man ved, hvor de behandles – hvilket forudsætter en ajourført fortegnelse.
  • Identifikation. Virksomheden skal sikre, at anmoderen er den, vedkommende udgiver sig for, uden at indsamle unødige oplysninger.
  • Tredjeparters oplysninger. Svaret må ikke afsløre oplysninger om andre personer, hvilket kræver redigering.

Software strukturerer disse trin, så håndteringen bliver ensartet og sporbar frem for ad hoc.

Udvalgskriterier

Kriterium Hvorfor det betyder noget Minimumskrav
Fristsporing En måneds frist Automatisk fristur og påmindelser
Kobling til fortegnelsen Man skal vide hvor oplysningerne er Søgning ud fra fortegnelsen
Identitetskontrol Sikker verifikation Struktureret verifikationstrin
Redigering Beskyt tredjeparters oplysninger Værktøj til at fjerne andres data
Dansk output Svar til registrerede på dansk Fuldt dansk output
Sporbarhed Dokumentation ved klage Fuld logning af sagsforløbet

Hvornår kan en anmodning afvises eller begrænses?

Indsigtsretten er ikke absolut. En anmodning kan afvises eller begrænses i afgrænsede tilfælde, og en god platform hjælper sagsbehandleren med at vurdere dem korrekt. Åbenbart grundløse eller uforholdsmæssige anmodninger – for eksempel gentagne, identiske anmodninger med kort mellemrum – kan afvises, eller der kan opkræves et rimeligt gebyr. Retten til en kopi må desuden ikke krænke andres rettigheder og frihedsrettigheder, hvilket i praksis betyder, at oplysninger om tredjeparter skal redigeres væk frem for at udleveres. Endelig kan visse oplysninger være undtaget efter national ret, for eksempel af hensyn til forebyggelse og efterforskning af strafbare forhold. Det væsentlige er, at en afvisning altid skal begrundes over for den registrerede og dokumenteres – en udokumenteret afvisning er i sig selv en risiko i en klagesag. Et værktøj, der tvinger sagsbehandleren til at registrere begrundelsen, gør afvisningen forsvarlig.

Softwarealternativer

De fleste GDPR-platforme håndterer indsigtsanmodninger, men dybden varierer. Rene GDPR-platforme – som Legiscope – integrerer anmodningshåndteringen med fortegnelsen, så søgningen tager udgangspunkt i, hvor oplysningerne faktisk behandles, og svaret genereres på dansk. Skabelonbaserede værktøjer giver en struktur, men mindre automatisering. Sikkerhedsværktøjer (Vanta, Sprinto) har grundlæggende anmodningshåndtering, men er tyndere på dette område, fordi deres fokus ligger andetsteds. Sammenlign bredere i GDPR-software sammenligning.

Indsigtsanmodninger og resten af programmet

Indsigtsanmodninger kan ikke håndteres godt uden en ajourført fortegnelse. Når en anmodning kommer ind, er det første spørgsmål, hvor virksomheden behandler oplysninger om den pågældende – og det svar findes i fortegnelsen. Derfor er de to funktioner tæt koblet: en platform, der fører fortegnelsen og håndterer anmodningerne samme sted, gør søgningen hurtig og fuldstændig, mens to adskilte systemer efterlader huller. Det er også grunden til, at indsigtsanmodninger sjældent købes som selvstændigt værktøj, men indgår i en samlet GDPR-platform. Se den overordnede danske ramme i databeskyttelse i Danmark og Datatilsynets rolle i klagesager i guiden til Datatilsynet.

De øvrige registreredes rettigheder

Indsigtsretten er den mest udbredte anmodning, men en god platform håndterer alle rettighederne i samme arbejdsflow, fordi de ofte kommer sammen. Ud over indsigtsretten efter artikel 15 omfatter det retten til sletning (artikel 17, “retten til at blive glemt”), retten til berigtigelse (artikel 16), retten til begrænsning (artikel 18), retten til dataportabilitet (artikel 20) og retten til at gøre indsigelse (artikel 21). Hver rettighed har sine egne betingelser og undtagelser: sletning kan for eksempel afvises, hvis oplysningerne skal opbevares efter anden lovgivning, og portabilitet gælder kun oplysninger, den registrerede selv har afgivet, og som behandles automatisk på grundlag af samtykke eller kontrakt. Et værktøj, der guider sagsbehandleren gennem den rigtige rettigheds betingelser, reducerer risikoen for at afvise en berettiget anmodning eller imødekomme en, der ikke burde imødekommes.

Indsigtsanmodninger fra medarbejdere

En ofte overset kilde til indsigtsanmodninger er egne medarbejdere, især i forbindelse med konflikter eller opsigelser. En medarbejder har samme indsigtsret som enhver anden registreret og kan bede om alle personoplysninger, arbejdsgiveren behandler om vedkommende – herunder e-mails, personalesagen og eventuelle noter. Det gør medarbejderanmodninger særligt følsomme, fordi de kan omfatte oplysninger om andre medarbejdere (der skal redigeres væk) og fortrolige ledelsesovervejelser. En dansk arbejdsgiver skal håndtere sådanne anmodninger inden for samme frist som andre, og et struktureret arbejdsflow er her endnu vigtigere, fordi anmodningen ofte falder sammen med en i forvejen anspændt situation. Et værktøj med sporbarhed dokumenterer, at anmodningen er håndteret korrekt, hvilket er værdifuldt, hvis sagen senere ender hos Datatilsynet eller ved en domstol.

Almindelige faldgruber

  • At starte fristuret for sent. Fristen løber fra modtagelsen, ikke fra det tidspunkt, anmodningen når den rette medarbejder. En central indbakke, der straks registrerer anmodningen, er afgørende.
  • At overse oplysninger i afkroge. Uden en ajourført fortegnelse er det svært at vide, hvor alle oplysninger om en person findes – og et ufuldstændigt svar er en overtrædelse.
  • At udlevere for meget. Svaret må ikke afsløre oplysninger om tredjeparter. Redigering er en pligt, ikke en valgmulighed.
  • At glemme identitetskontrollen. At udlevere oplysninger til en, der udgiver sig for at være den registrerede, er i sig selv et brud på persondatasikkerheden.

At undgå disse faldgruber kræver en ensartet proces, og det er netop det, software leverer – frem for at hver anmodning håndteres ad hoc af den, der tilfældigvis modtager den.

Ofte stillede spørgsmål

Hvad koster software til indsigtsanmodninger?

Det købes typisk som del af en GDPR-platform til 10.000-40.000 kr. om året for en SMV (Legiscope fra cirka 750 kr./måned). Prisen dækker også fortegnelse og databehandleraftaler. Selvstændige DSAR-værktøjer findes, men for de fleste danske virksomheder er en samlet platform både billigere og mere sammenhængende. Se den fulde prisgennemgang.

Hvor lang tid har jeg til at svare på en indsigtsanmodning?

En måned fra modtagelsen. Fristen kan forlænges med op til to måneder ved komplekse eller mange anmodninger, men den registrerede skal underrettes om forlængelsen inden for den første måned. Første kopi er gratis.

Skal jeg verificere anmoderens identitet?

Ja. Virksomheden skal med rimelighed sikre sig, at anmoderen er den, vedkommende udgiver sig for, før oplysningerne udleveres – ellers risikerer man et databrud. Verifikationen må dog ikke bruges til at indsamle unødige oplysninger. En platform med et struktureret verifikationstrin balancerer disse hensyn.

Konklusion

Software til indsigtsanmodninger gør en ellers tidskrævende og risikabel proces ensartet og sporbar. For danske virksomheder er kernekriterierne fristsporing, kobling til fortegnelsen, sikker identitetskontrol og dansk output. Manglende overholdelse af en-måneds-fristen er en klassisk kilde til klager til Datatilsynet, og manuel håndtering glider let, især i pressede perioder. En platform som Legiscope, der fører fortegnelsen og håndterer anmodningerne samme sted, gør søgningen hurtig og svaret fuldstændigt – og gør indsigtsretten til en rutine frem for en brandslukning.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →