Guide
GDPR-krav til kontaktformularer — komplet tjekliste
Kontaktformularen er ofte det første sted, jeres virksomhed modtager persondata. Her er de krav GDPR faktisk stiller — og en tjekliste I kan gå igennem på ti minutter.
5. juli 2026 · 6 min. læsning · Replied
Navn, email, telefonnummer og en fritekst-besked: en helt almindelig kontaktformular indsamler persondata fra første felt. Det gør formularen — og alt hvad der sker med beskederne bagefter — til en del af jeres GDPR-ansvar. Den gode nyhed: kravene er overskuelige, når man tager dem ét ad gangen.
1. Lovligt grundlag — I behøver (som regel) ikke et samtykke-flueben
En udbredt misforståelse er, at enhver formular kræver en samtykke-checkbox. Når en kunde selv skriver til jer for at få svar, er behandlingsgrundlaget typisk legitim interesse eller skridt forud for en kontrakt — ikke samtykke. Fluebenet er derimod påkrævet, hvis I vil bruge oplysningerne til andet end at besvare henvendelsen, fx nyhedsbreve eller markedsføring.
2. Oplysningspligt: link til jeres privatlivspolitik
I skal fortælle folk, hvad der sker med deres data — senest når I indsamler dem. I praksis: en kort linje ved formularen med link til jeres privatlivspolitik, som beskriver formål, opbevaringstid og rettigheder.
3. Dataminimering: spørg kun om det nødvendige
- Drop felter I ikke bruger — CVR, adresse og fødselsdato hører sjældent hjemme i en kontaktformular.
- Gør telefonnummer valgfrit, hvis email er nok til at svare.
- Undgå at opfordre til følsomme oplysninger (helbred, fagforening osv.) i fritekstfeltet.
4. Opbevaring og sletning — den de fleste dumper på
Henvendelser må ikke ligge i en delt indbakke "for evigt". I skal have en slettepolitik: fx at almindelige henvendelser slettes efter 24 måneder. Problemet er praktisk — i en Outlook-indbakke med tusind mails sletter ingen noget som helst. Et system med struktureret opbevaring gør sletning til en regel i stedet for et forsæt.
5. Databehandleraftale (DPA) med jeres leverandører
Behandler et værktøj henvendelser for jer — formular-plugin, helpdesk, CRM — er leverandøren databehandler, og I skal have en DPA. Tjek også hvor data hostes: EU-hosting gør compliance-arbejdet markant lettere end amerikanske tjenester med overførselsmekanismer.
6. Sikkerhed: kryptering og adgangsstyring
- HTTPS på hele sitet — formulardata må aldrig sendes ukrypteret.
- Adgangsstyring: kun de medarbejdere der skal besvare henvendelser, bør kunne læse dem. En delt indbakke med fælles login er det modsatte.
- Log ud-rutiner og to-faktor på systemet der opbevarer henvendelserne.
Tjeklisten — print den
- Behandlingsgrundlag afklaret (samtykke kun ved markedsføring)
- Link til privatlivspolitik ved formularen
- Kun nødvendige felter i formularen
- Fast slettefrist + et system der kan håndhæve den
- DPA med alle leverandører der rører henvendelserne
- EU-hosting eller gyldig overførselsmekanisme
- HTTPS + adgangsstyring med individuelle logins
Slut med at jonglere henvendelser i indbakken
Replied samler kontaktformular, widget og email ét sted — kategoriseret, GDPR-klar og med svar-udkast fra Aria. Opsætning på under 5 minutter.