GDPR for håndværksvirksomheder forklaret

GDPR for håndværksvirksomheder forklaret – uden jura-kaos

GDPR handler grundlæggende om én ting: At beskytte de personoplysninger, du har på kunder, medarbejdere og samarbejdspartnere. Men hvad betyder det i praksis for en travl håndværksvirksomhed med mange sager, fotos fra byggepladsen og tidsregistrering på farten?

I denne guide gennemgår vi de vigtigste GDPR-krav for håndværksvirksomheder – og hvordan du kan arbejde mere struktureret med data, uden at drukne i papirarbejde.

Hvad er personoplysninger i en håndværksvirksomhed?

Personoplysninger er alle oplysninger, der kan knyttes til en bestemt person. I en håndværksvirksomhed kan det f.eks. være:

• Kundens navn, adresse, telefonnummer og e-mail
• CPR-nummer (f.eks. ved forsikringssager eller energitilskud)
• Nummerplader på firmabiler koblet til medarbejdere
• Tidsregistrering og kørsel pr. medarbejder
• Billeder fra opgaver, hvor personer eller private forhold kan genkendes

Både elektrikere, VVS-installatører, tømrere, malere og andre faggrupper har typisk mange personoplysninger liggende i mails, mapper, notesbøger, sms’er og måske i forskellige IT-systemer.

De vigtigste GDPR-principper for håndværkere

GDPR består af mange regler, men for de fleste håndværksvirksomheder kan det koges ned til nogle få centrale principper:

1. Saml kun de oplysninger, du har brug for

Du må kun indsamle personoplysninger, som du reelt har brug for til at løse opgaven eller opfylde en aftale. Skal du f.eks. installere varmepumpe eller solceller, er navn, adresse, kontaktoplysninger og evt. dokumentation til myndighederne normalt nok.

Spørg derfor dig selv: Har vi et sagligt formål med at gemme denne oplysning?

2. Hav styr på, hvor data ligger

En typisk udfordring i håndværksbranchen er, at data ligger spredt:

• Tilbud i én mappe, fakturaer i et økonomisystem
• Billeder på medarbejdernes telefoner
• SMS’er og Messenger-beskeder med kundedata

Jo mere spredt data er, jo sværere er det at leve op til GDPR. En samlet platform til ordrer, tidsregistrering, kørsel og kvalitetssikring – som f.eks. Arbejdsflow – gør det langt lettere at få overblik og dokumentation.

3. Gem ikke data længere end nødvendigt

GDPR kræver, at du har en slettepolitik. Det betyder, at du skal tage stilling til, hvor længe du gemmer forskellige typer oplysninger. Eksempler:

• Kundedata til bogføring: Gemmes typisk i mindst 5 år (bogføringsloven)
• Billeder til dokumentation af arbejde: Gemmes så længe der er reklamationsret eller serviceaftale
• Jobansøgninger fra afviste kandidater: Slettet efter kortere tid, medmindre du har samtykke

Det behøver ikke være kompliceret – men det skal være gennemtænkt og beskrevet.

4. Pas på billeder fra byggepladsen

Billeder er et område, hvor mange håndværksvirksomheder uforvarende bryder GDPR. Typiske situationer:

• Billeder af skader i private hjem, hvor familiens ejendele eller personer kan genkendes
• Før-/efter-billeder brugt i markedsføring uden samtykke
• Billeder af nummerplader, navneskilte eller andre personlige oplysninger

Som udgangspunkt må du bruge billeder til dokumentation af arbejdet, når det er nødvendigt for opgaven eller aftalen. Men vil du bruge billeder i markedsføring (hjemmeside, sociale medier mv.), skal du som regel have samtykke.

Lovlige grundlag: Hvornår må du behandle data?

For at leve op til GDPR skal du have et lovligt grundlag for at behandle personoplysninger. For håndværksvirksomheder er de mest relevante:

• Aftale – du behandler data for at udføre en aftale med kunden (tilbud, ordre, faktura, reklamation)
• Retlig forpligtelse – du skal gemme data for at overholde lovgivning (bogføringsloven, arbejdsmiljø, garanti)
• Legitim interesse – du har en saglig interesse, der vejer tungere end kundens indvendinger (f.eks. dokumentation ved tvister)
• Samtykke – især til markedsføring og brug af billeder til reference og sociale medier

Det betyder også, at du ikke behøver samtykke til alt. Meget af det daglige arbejde i f.eks. elektrikerfirmaer, VVS-virksomheder og tømrervirksomheder kan baseres på aftale og lovkrav – ikke samtykke.

Medarbejdere, tidsregistrering og kørsel

GDPR gælder også for dine medarbejdere. Typiske områder, du skal være opmærksom på:

Tidsregistrering

Når du registrerer timer på sager og medarbejdere, behandler du personoplysninger. Det er som udgangspunkt lovligt, fordi det er nødvendigt for at:

• Udbetale løn
• Fakturere korrekt til kunder
• Planlægge bemanding og ressourcer

Her er det vigtigt, at systemet er sikkert, og at du ikke gemmer data længere end nødvendigt.

GPS og kørsel

Bruger du GPS-tracking eller kørselssystemer, skal medarbejderne være informeret om, hvad data bruges til, og hvor længe det gemmes. Formålet kan f.eks. være:

• Korrekt kørselsgodtgørelse
• Ruteoptimering
• Sikkerhed og dokumentation

Her er det en fordel at have én samlet løsning, hvor kørsel, tidsregistrering og ordrer hænger sammen, så du kan dokumentere formål og adgang.

Databehandleraftaler med dine IT-leverandører

Når du bruger eksterne systemer til f.eks. ordrestyring, økonomi eller løn, er leverandøren ofte databehandler. Det betyder, at du skal have en databehandleraftale, som beskriver:

• Hvilke data leverandøren behandler på dine vegne
• Hvordan de sikrer data (kryptering, adgangskontrol, backup)
• Hvor data opbevares (f.eks. inden for EU/EØS)

Når du vælger en platform som Arbejdsflow til at samle ordrer, tidsregistrering og kvalitetssikring, er det derfor vigtigt, at der følger en ordentlig databehandleraftale med, så du kan dokumentere din rolle som dataansvarlig.

Praktisk GDPR-tjekliste for håndværksvirksomheder

For at komme i gang eller komme videre med GDPR-arbejdet, kan du bruge denne enkle tjekliste:

1. Få overblik over data
   • Hvor ligger kundedata? (mail, mapper, systemer, telefoner)
   • Hvor ligger medarbejderdata?
   • Hvor gemmer I billeder og dokumentation?
2. Beskriv formål og lovligt grundlag
   • Hvad bruger I data til (tilbud, faktura, dokumentation, markedsføring)?
   • Er grundlaget aftale, lovkrav, legitim interesse eller samtykke?
3. Lav en simpel slettepolitik
   • Aftal, hvor længe I gemmer tilbud, sager, billeder og ansøgninger
   • Sørg for, at det kan gennemføres i praksis
4. Gennemgå adgang og sikkerhed
   • Har alle medarbejdere adgang til alt – eller kun det nødvendige?
   • Bruger I stærke adgangskoder og evt. to-faktor-login?
5. Få styr på databehandleraftaler
   • Har I aftaler med jeres IT-leverandører?
   • Er de opdaterede og gemt et sted, hvor I kan finde dem?

Sådan kan en digital platform hjælpe med GDPR

Det er svært at leve op til GDPR, hvis data ligger i papirmapper, Excel-ark, sms’er og tilfældige apps. En samlet platform som Arbejdsflow kan bl.a. hjælpe med:

• Centralisering – alle ordrer, tidsregistreringer, kørsel og kvalitetssikring ét sted
• Adgangsstyring – medarbejdere ser kun de data, de skal bruge
• Struktureret dokumentation – billeder og kvalitetssikring knyttet til sager, ikke til private telefoner
• Nem logning og sporbarhed – overblik over, hvem der har gjort hvad og hvornår

For mange håndværksvirksomheder – fra murere og malere til service- og ejendomsfirmaer – er det et vigtigt skridt både for GDPR, effektivitet og kvalitet.

Næste skridt: Gør GDPR håndterbart i hverdagen

GDPR behøver ikke være et kæmpe projekt. Start med det mest grundlæggende: Få overblik over data, beskyt det vigtigste og saml så meget som muligt ét sted.

Hvis du vil se, hvordan du kan kombinere ordrestyring, tidsregistrering, kørsel og kvalitetssikring i én løsning, der samtidig gør det lettere at leve op til GDPR, kan du med fordel kigge nærmere på Arbejdsflow.

Overvej en kort intern gennemgang i virksomheden, hvor I beslutter:

• Hvilke data I samler hvor
• Hvem der har adgang til hvad
• Hvordan I håndterer billeder og dokumentation fremover

Vil du se, hvordan det kan fungere i praksis, kan du booke en uforpligtende demo af Arbejdsflow og få konkrete eksempler tilpasset netop din branche.

Denne artikel er vejledende og kan ikke erstatte egentlig juridisk rådgivning. Ved tvivl om konkrete sager bør du kontakte en juridisk rådgiver.