Spring til indhold
Alle guides

Guide

GDPR-krav til kontaktformularer — komplet tjekliste

Kontaktformularen er ofte det første sted, jeres virksomhed modtager persondata. Her er de krav GDPR faktisk stiller — og en tjekliste I kan gå igennem på ti minutter.

5. juli 2026 · 6 min. læsning · Replied

Navn, email, telefonnummer og en fritekst-besked: en helt almindelig kontaktformular indsamler persondata fra første felt. Det gør formularen — og alt hvad der sker med beskederne bagefter — til en del af jeres GDPR-ansvar. Den gode nyhed: kravene er overskuelige, når man tager dem ét ad gangen.

1. Lovligt grundlag — I behøver (som regel) ikke et samtykke-flueben

En udbredt misforståelse er, at enhver formular kræver en samtykke-checkbox. Når en kunde selv skriver til jer for at få svar, er behandlingsgrundlaget typisk legitim interesse eller skridt forud for en kontrakt — ikke samtykke. Fluebenet er derimod påkrævet, hvis I vil bruge oplysningerne til andet end at besvare henvendelsen, fx nyhedsbreve eller markedsføring.

2. Oplysningspligt: link til jeres privatlivspolitik

I skal fortælle folk, hvad der sker med deres data — senest når I indsamler dem. I praksis: en kort linje ved formularen med link til jeres privatlivspolitik, som beskriver formål, opbevaringstid og rettigheder.

3. Dataminimering: spørg kun om det nødvendige

  • Drop felter I ikke bruger — CVR, adresse og fødselsdato hører sjældent hjemme i en kontaktformular.
  • Gør telefonnummer valgfrit, hvis email er nok til at svare.
  • Undgå at opfordre til følsomme oplysninger (helbred, fagforening osv.) i fritekstfeltet.

4. Opbevaring og sletning — den de fleste dumper på

Henvendelser må ikke ligge i en delt indbakke "for evigt". I skal have en slettepolitik: fx at almindelige henvendelser slettes efter 24 måneder. Problemet er praktisk — i en Outlook-indbakke med tusind mails sletter ingen noget som helst. Et system med struktureret opbevaring gør sletning til en regel i stedet for et forsæt.

5. Databehandleraftale (DPA) med jeres leverandører

Behandler et værktøj henvendelser for jer — formular-plugin, helpdesk, CRM — er leverandøren databehandler, og I skal have en DPA. Tjek også hvor data hostes: EU-hosting gør compliance-arbejdet markant lettere end amerikanske tjenester med overførselsmekanismer.

Sådan gør Replied: Al data hostes i EU, der følger standard-databehandleraftale med, og henvendelser kan slettes automatisk efter jeres egen frist. Se hvordan det hænger sammen →

6. Sikkerhed: kryptering og adgangsstyring

  • HTTPS på hele sitet — formulardata må aldrig sendes ukrypteret.
  • Adgangsstyring: kun de medarbejdere der skal besvare henvendelser, bør kunne læse dem. En delt indbakke med fælles login er det modsatte.
  • Log ud-rutiner og to-faktor på systemet der opbevarer henvendelserne.

Tjeklisten — print den

  • Behandlingsgrundlag afklaret (samtykke kun ved markedsføring)
  • Link til privatlivspolitik ved formularen
  • Kun nødvendige felter i formularen
  • Fast slettefrist + et system der kan håndhæve den
  • DPA med alle leverandører der rører henvendelserne
  • EU-hosting eller gyldig overførselsmekanisme
  • HTTPS + adgangsstyring med individuelle logins

Slut med at jonglere henvendelser i indbakken

Replied samler kontaktformular, widget og email ét sted — kategoriseret, GDPR-klar og med svar-udkast fra Aria. Opsætning på under 5 minutter.