Skip to main content
Hvordan skal man reagere på en dataanmodning?
Blog

Hvordan skal man reagere på en dataanmodning?

Af 13. juni 2023juli 3rd, 2025No Comments

Det korte svar: Når I modtager en dataanmodning, skal I reagere hurtigt og struktureret. Først skal I bekræfte modtagelsen og sikre jer, at afsenderen er den, de udgiver sig for at være. Derefter skal I finde og udlevere de relevante personoplysninger – sikkert og inden for 30 dage. Det kræver overblik over jeres data, klare procedurer og evnen til at dokumentere hele processen.

Hvad er en dataanmodning?

En dataanmodning kan være enhver form for formel eller uformel forespørgsel vedrørende specifikke oplysninger, I gemmer. Hvordan I bør reagere afhænger af, hvem der fremsætter anmodningen og arten af de data, de beder jer om.

Denne blog handler om hvad en GDPR-dataanmodning er, hvad regler er og hvordan I skal forholde jer, hvis I modtager en.

Vidste du, at 46% af forbrugerne ikke har tillid til virksomheders bæredygtighedsbudskaber, herunder pålidelig datahåndtering?

- CSR.dk

Typer af dataanmodninger

Dataanmodninger kan variere afhængigt af konteksten og den specifikke anvendelse, men generelt kan de kategoriseres i følgende typer:

  1. Interne dataanmodninger: Driftsdata, finansielle data og personaldata
  2. Eksterne dataanmodninger: Kundedata, leverandørdata og markedsdata
  3. Offentlige dataanmodninger: FOIA-anmodninger (Freedom of Information Act) og statistiske data
  4. Forskning og akademiske dataanmodninger: undersøgelser, interviews og rapporter
  5. Tekniske dataanmodninger: Logfiler, systemdata og sensordata
  6. Dataanmodninger til datavidenskab og analyse: Datasæt til analyse og Big Data
  7. Dataanmodninger om beskyttelse og sikkerhed: GDPR-dataanmodninger og sikkerhedsdata

Denne blog vil specifikt handle om GDPR-dataanmodninger.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

GDPR dataanmodninger

Som nævnt skal virksomheder, der opererer i EU, besvare dataanmodninger om persondata. I henhold til GDPR ejer folk rettighederne til deres egne data. Det betyder, at de kan styre, hvad I gør med det. Folk kan sende jer GDPR-dataanmodninger, der kan bede dig om at:

  1. Fortælle dem om hvilke oplysninger, I har om dem
  2. Rette eller opdatere data om dem
  3. Begrænse behandlingen af deres data i specifikke situationer
  4. Stoppe med at behandle deres personoplysninger til bestemte formål
  5. Stoppe med udsætte dem for automatiseret profilering
  6. Slette/glemme deres data
  7. Overføre deres data

Kort sagt giver GDPR-anmodninger folk en masse magt over deres data. Folk kan trække deres samtykke tilbage til, de kan begrænse hvad I gør med det, de kan bede jer om at videresende det til et andet firma og meget mere.

Sådan skal I reagere på GDPR-dataanmodninger

For at besvare enhver dataanmodning, skal I følge disse 3 trin:

Alle dataanmodninger

  1. Vurder anmodningen. Der er intet påkrævet format eller kanal for at en GDPR-dataanmodning er gyldig. Det er op til jer at få øje på dem og identificere dem som anmodninger om adgang til registrerede personer.
  2. Bekræft anmoderens identitet. Før I finder og sender personlige oplysninger til anmoderen, skal I sikre jer, at de er den, de hævder at være.
  3. Find de ønskede oplysninger. Find alle de personlige data, I gemmer, som er relevante for personen og dennes anmodning.

Efter disse 3 trin vil det næste, I gør, afhænge af typen af anmodning.

Anmodninger om adgang

  1. Forbered de ønskede oplysninger.
  2. Sørg for, at den er nøjagtig og fuldstændig.
  3. Send det sikkert tilbage.

Anmodninger om berigtigelse

  1. Vurder gyldigheden af anmodningen og afgør, om de pågældende personoplysninger er unøjagtige, ufuldstændige eller kræver opdatering.
  2. Ret data. Ret eller opdater de personlige data som personen har anmodet om, og sørg for, at ændringerne er foretaget i alle relevante systemer.
  3. Kommuniker resultatet. Informer personen om de tilrettelser, der er lavet.

Anmodninger om sletning

  1. Vurder anmodningen. Afgør, om betingelserne for sletning er opfyldt (f.eks. er data ikke længere nødvendige, tilbagetrækning af samtykke, ulovlig behandling).
  2. Vurdere dispensationer. Overvej eventuelle juridiske undtagelser eller opbevaringsforpligtelser, der kan gælde for de anmodede data.
  3. Slet eller anonymiser data. Hvis anmodningen om sletning er gyldig, skal I fortsætte med at slette eller anonymisere de personlige data, og sikre, at de ikke længere er identificerbare eller sporbare.
  4. Bekræft sletning. Informer anmoderen om, at deres personlige data er blevet slettet eller anonymiseret, medmindre nogen juridiske eller praktiske begrænsninger forhindrer fuldstændig sletning.

Anmodninger om indsigelser

  1. Vurder indsigelsen. Vurdere begrundelsen for indsigelsen og gennemgå de konkrete behandlingsaktiviteter, der er tale om.
  2. Afbalancere interesser. Overvej jeres legitime interesser kontra individets rettigheder og friheder. Afgør, om indsigelsen er gyldig, og om I virkelig skal stoppe behandlingen af dataene.
  3. Kommuniker jeres beslutning. Informer rekvirenten om resultatet af indsigelsen og eventuelle handlinger, der er truffet som følge heraf, med en klar forklaring på afgørelsen.

Til sidst skal I dokumentere og opdatere registre over alle anmodninger, I modtager, og de handlinger, I foretager jer for at besvare dem. Disse optegnelser vil udvise compliance.

Selvom det er vigtigt at overholde loven samt være gennemsigtig over for kunder, investorer og andre, skal man sørge for, at man også beskytter virksomhedens interesser, når nogen beder jer om data. Hvis I er i tvivl, så bør I rådføre jer med fagfolk, der forstår de juridiske krav, I er underlagt. Dette vil hjælpe jer med at træffe en informeret beslutning om, hvordan I skal dele data.

Få et overblik over jeres GDPR-filer

En GDPR Risikovurdering giver jer et komplet overblik over filer med følsomt indhold i jeres virksomhed.

Læs mere

Undgå at gå glip af en dataanmodning

Generelt vil perioden for at besvare en dataanmodning være 30 dage. Her er et par ting, I kan gøre for at sikre, at I aldrig går glip af en anmodning:

  1. Etabler klare procedurer: Beslut først, hvordan I vil håndtere dataanmodninger. Opret derefter en politik, der klart beskriver de trin, der skal tages fra den første modtagelse af en anmodning til dens afslutning.
  2. Uddan jeres medarbejdere: Uddan jeres personale til at genkende GDPR-dataanmodninger. Sørg for, at alle er klar over perioden for at reagere på dem og at de ved, hvordan man gør det.
  3. Udpeg en kontakt: Dette kan for eksempel være en dedikeret e-mail-indbakke eller en udpeget person, der håndterer alle dataanmodninger.
  4. Opret et dataanmodnings-system: Opret et system til at administrere dataanmodninger. At få software, der er designet til dataanmodninger gør hele processen meget nemmere. Software kan logge, tildele og spore fremskridtene for hver anmodning og påminde jer om at svare på den.
  5. Automatiser påmindelser og meddelelser: Brug kalenderpåmindelser eller software til at advare jer, når I skal behandle en anmodning. Derudover kan software give personen, der anmoder besked om, at I har modtaget deres besked og arbejder på den.

Sørg endelig for, at I regelmæssigt gennemgår og opdaterer jeres processer og politikker. Tag hensyn til ting som kunde- og medarbejderfeedback og eventuelle ændringer i reglerne for databeskyttelse.

Mangler I hjælp til at reagere på dataanmodninger?

For at demonstrere compliance skal man I ikke bare besvare dataforespørgsler rettidigt og fyldestgørende – og dokumentere hver eneste skridt i processen. I Safe Online har vi skabt RequestManager til netop at håndtere dataanmodninger. Med RequestManager får man en anmodningsportal, der indsamler, verificerer og logger alle dataanmodninger. Hver anmodning vises på jeres dashboard, organiseret efter dens forfaldsdato. Derefter hjælper sms- og e-mailbekræftelser jer med at kontrollere anmoderens identitet. I får påmindelser om at svare til tiden og hjælpe med at indsamle data og sende dem sikkert tilbage.

Udforsk RequestManager

Læs mere

Sebastian Allerelli
Grundlægger & COO hos Safe Online

Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.

Følg Sebastian på LinkedIn for at få små GDPR-tips →

GUIDE

Hvordan behandler man personoplysninger?

BLOG

Hvordan kan Datamapping-værktøj hjælpe?

GUIDE

Er vi klar til et datatilsyn?