skipwordpress.com
← Alle artikler

01. February 2026

Er din WordPress-side GDPR-compliant? Sandsynligvis ikke.

GDPR gælder for alle danske virksomheder med hjemmeside. WordPress-sider med plugins indsamler typisk persondata uden at ejeren ved det. Her er hvad du skal vide.

Databeskyttelsesforordningen (GDPR) trådte i kraft i 2018. Bøder for overtrædelse kan løbe op i 20 millioner euro eller 4% af global omsætning – alt efter hvad der er størst.

De fleste lokale virksomheders WordPress-sider er ikke compliant. Ikke fordi ejerne er ligeglade, men fordi de ikke ved hvad deres plugins faktisk gør.

Hvad WordPress-plugins indsamler uden du ved det

Google Analytics / Tag Manager: Indsamler IP-adresser, brugeradfærd, geografisk placering. Kræver eksplicit samtykke inden tracking aktiveres. De fleste WordPress-sider loader analytics ved sideindlæsning – uden at spørge.

Kontaktformular-plugins: Gemmer typisk alle indsendte formularer i databasen. Navn, email, telefonnummer, beskeder. Hvem har adgang? Hvor længe gemmes de? Er det dokumenteret?

Chat-plugins: Livechat og chatbot-plugins sender typisk samtaledata til amerikanske servere. Dataoverførsler til USA kræver særlige garantier efter Schrems II.

Kommentar-plugins (Disqus, Facebook Comments): Sender brugerdata til tredjeparter med egne datapolitikker. Du er dataansvarlig for hvad der sker.

Social media-embeds: En embedded YouTube-video eller Facebook-like-knap sætter tracking-cookies fra disse platforme. Kræver samtykke.

CDN og font-tjenester: Google Fonts loader fra Googles servere og videregiver brugerens IP til Google. En tysk domstol bødede en virksomhed 100 euro for netop dette i 2022.

Hvad loven kræver

Samtykkebanner: Du skal have eksplicit samtykke fra brugeren inden ikke-nødvendige cookies og tracking aktiveres. "Ved at bruge siden accepterer du cookies" er ikke gyldigt samtykke.

Privatlivspolitik: Skal beskrive præcist hvilke data du indsamler, hvem der har adgang, hvor længe de gemmes og brugerens rettigheder.

Ret til sletning: Brugere kan bede om at få deres data slettet. Kan du gøre det? Hvor er dataene egentlig?

Databehandleraftaler: Hvis du bruger tredjepartsservices der behandler persondata (hosting, analytics, formularer), skal du have en DPA med dem.

Register over behandlingsaktiviteter: Virksomheder over 250 ansatte er pålagt dette. Mindre virksomheder bør have det alligevel – det er god praksis og dokumentation ved et tilsyn.

Hvad Datatilsynet ser på

Datatilsynet i Danmark er aktivt. De fører tilsyn, behandler klager og udsteder vejledninger. Typiske problemstillinger de ser:

  • Manglende eller utilstrækkeligt samtykkebanner
  • Google Analytics aktivt uden samtykke
  • Kontaktformularer der gemmer data uden klar opbevaringspolitik
  • Manglende privatlivspolitik eller politik der ikke matcher virkeligheden
  • Brug af amerikanske cloud-tjenester uden gyldige overførselsgrundlag

En klage fra en enkelt bruger kan udløse et tilsyn. Du behøver ikke være stor virksomhed.

Den reelle omkostning ved at blive compliant på WordPress

En ordentlig GDPR-opsætning på en WordPress-side kræver:

  • Et Consent Management Platform (Cookiebot, Usercentrics, OneTrust) – 50–200 EUR/md
  • Konfiguration af samtykke-lag foran alle tracking-scripts
  • Regelmæssig audit af hvad plugins faktisk sender og gemmer
  • Opdateret privatlivspolitik skrevet af en jurist eller med juridisk review
  • Databehandleraftaler med alle relevante tredjeparter

Det er ikke trivielt. Og det skal vedligeholdes – tilføjer du et nyt plugin, kan det introducere nye compliance-problemer.

Hvad skipwordpress.com-sider indsamler

Ingenting.

Der er ingen analytics by default. Ingen kontaktformular der gemmer data i en database. Ingen plugins der tracker brugere. Siden serverer HTML og det er det.

Kontakthenvendelser går direkte til din email. Ingen mellemmand, ingen database, ingen opbevaring på vores servere.

Vil du have analytics, kan vi tilslutte Plausible Analytics – et GDPR-compliant alternativ til Google Analytics der ikke sætter cookies og ikke kræver samtykkebanner. Hosted i EU.

Det er ikke et juridisk argument om at vores sider er "undtaget" fra GDPR. Det er bare at der ikke er noget at regulere, for vi indsamler ingenting.

Hvad du skal gøre nu

Tjek din WordPress-side med et cookie-scanning-værktøj (Cookiebot scanner gratis). Se hvad der faktisk sættes af cookies og sendes til tredjeparter.

Sammenlign med din privatlivspolitik. Er de cookies du indsamler beskrevet? Er der hjemmel for dem?

Kontakt dit bureau. Spørg om din side er GDPR-compliant. Bed om dokumentation.

Svaret overrasker de fleste.

Ofte stillede spørgsmål

Gælder GDPR for min lille virksomhed?
Ja. GDPR gælder for alle organisationer der behandler personoplysninger om EU-borgere, uanset størrelse. Freelancere, enkeltmandsvirksomheder, lokale håndværkere – alle.

Hvad er den reelle bøderisiko for en lille virksomhed?
Datatilsynet udsteder sjældent de maksimale bøder til småerhverv. Men påbud om at bringe forholdene i orden er meget almindelige – og de koster tid og penge at efterleve. En klagesag er i sig selv en belastning.

Kan jeg bare kopiere en GDPR-politik fra nettet?
Nej. En privatlivspolitik skal beskrive præcis hvad din side gør. En generisk skabelon der ikke matcher virkeligheden er muligvis værre end ingen – det dokumenterer at du vidste der var krav, men ikke fulgte dem.

Klar til at prøve noget der bare virker?

Gratis de første 3 måneder. Ingen kontrakt. Send en mail og vi tager en snak.

Kontakt Jakob Se hvad vi tilbyder