GDPR i foreningen — komplet guide til håndtering af persondata
Af Foreningsstyring Redaktionen15. januar 2026Opdateret 15. februar 20264 min læsning

GDPR i foreningen — komplet guide til håndtering af persondata

Jeres forening har en medlemsliste med navne, adresser, telefonnumre og emailadresser. Måske har I også registreret fødselsdage, sundhedsoplysninger eller betalingsinformation. Alt det er persondata — og det er jeres ansvar at håndtere det korrekt.

GDPR (General Data Protection Regulation) gælder for alle der behandler persondata — også foreninger. Men hvad betyder det i praksis? Og hvad skal I helt konkret gøre?

Her er den guide, I har brug for.

Hvad er persondata?

Persondata er alle oplysninger, der kan identificere en person. For foreninger handler det typisk om:

  • Alm. persondata: Navn, adresse, email, telefon, fødselsdato, kontonummer
  • Følsomme persondata: Helbredsoplysninger (allergier, handicap), religiøs overbevisning, politisk tilhørsforhold, CPR-nummer
  • Billeder og video: Fotos fra arrangementer, hvor personer kan genkendes

Følsomme data kræver ekstra opmærksomhed

Sundhedsoplysninger (f.eks. "kan ikke deltage pga. rygskade") er følsomme persondata og kræver eksplicit samtykke. Undgå at indsamle mere end I har brug for.

Hvad giver jer lov til at behandle persondata?

I skal have et lovligt grundlag for at behandle persondata. For foreninger er de mest relevante:

1. Interesseafvejning (Artikel 6, stk. 1, litra f)

Det mest brugte grundlag for foreninger. I må behandle persondata, når det er nødvendigt for foreningens berettigede interesser, og det ikke overstiger hensynet til den registrerede.

Eksempler: Medlemsliste, kontingentopkrævning, kommunikation om aktiviteter.

2. Samtykke (Artikel 6, stk. 1, litra a)

Personen har givet udtrykkeligt samtykke. Bruges når de andre grundlag ikke rækker.

Eksempler: Nyhedsbreve til ikke-medlemmer, billeder på sociale medier, følsomme sundhedsdata.

3. Kontrakt (Artikel 6, stk. 1, litra b)

Behandling er nødvendig for at opfylde en aftale.

Eksempler: Betaling af kontingent, udlevering af nøgle/adgangskort.

4. Retlig forpligtelse (Artikel 6, stk. 1, litra c)

I er forpligtet ved lov til at gemme data.

Eksempler: Bogføringsbilag (5 års opbevaring), indberetning til SKAT.

Hvad skal I konkret gøre?

1. Lav en fortegnelse over jeres persondata

Skriv ned:

  • Hvilke persondata I indsamler
  • Hvorfor I indsamler dem
  • Hvem der har adgang til dem
  • Hvor længe I opbevarer dem
  • Hvilket lovligt grundlag I bruger

Det lyder bureaukratisk, men det kan klares på et par timer. Og det giver jer et overblik, I alligevel burde have.

2. Skriv en privatlivspolitik

Jeres privatlivspolitik skal fortælle medlemmer og andre, hvad I gør med deres data. Den skal indeholde:

  • Hvem I er (foreningens navn og kontaktoplysninger)
  • Hvilke data I indsamler
  • Hvorfor I indsamler dem
  • Hvem I deler dem med (f.eks. kommunen, forsikringsselskab, betalingsudbyder)
  • Hvor længe I opbevarer dem
  • Medlemmets rettigheder (indsigt, sletning, berigtigelse)

Privatlivspolitikken skal være let tilgængelig — f.eks. på jeres hjemmeside og i velkomstmailen til nye medlemmer.

3. Sørg for datasikkerhed

  • Brug et sikkert system — Gem ikke medlemslister i Google Sheets eller delte Excel-filer uden adgangskontrol.
  • Begræns adgangen — Kun de bestyrelsesmedlemmer der har brug for det, skal have adgang til persondata.
  • Brug stærke adgangskoder — Og del dem ikke via SMS eller email.
  • Slet data I ikke længere har brug for — Når et medlem melder sig ud, slet deres persondata (medmindre I har en lovlig grund til at beholde dem).

4. Håndter billeder og sociale medier

Billeder af personer er persondata. Her er reglerne:

  • Situationsbilleder (fra en fodboldkamp, et arrangement med mange) — kan ofte bruges uden samtykke, baseret på interesseafvejning.
  • Portrætbilleder (nærbilleder, hvor en enkelt person er i fokus) — kræver samtykke.
  • Billeder af børn — Kræver altid forældrenes samtykke.

Tip: Informer ved arrangementer om, at der tages billeder. Og giv folk mulighed for at sige fra.

5. Håndter indsigtsanmodninger

Ethvert medlem kan bede om at se, hvilke data I har om dem. I skal svare inden 30 dage. Det er sjældent det sker — men I skal have en proces klar.

Typiske faldgruber

  • "Vi er bare en lille forening — GDPR gælder ikke for os." — Jo, det gør. GDPR gælder for alle der behandler persondata.
  • At dele hele medlemslisten med alle. — Begræns adgangen. Ikke alle behøver at se alles telefonnumre.
  • At gemme data for evigt. — Slet persondata, når de ikke længere er nødvendige. Et frafaldent medlems data bør slettes efter rimelig tid (typisk 1-3 år).
  • At glemme udmeldte medlemmer. — Lav en rutine for at gennemgå og slette data for udmeldte.
  • At bruge private telefoner som "foreningens system". — Bestyrelses-smartphones med medlemsdata er et sikkerhedsproblem.

Tjekliste: GDPR i foreningen

  • ☐ Lav en fortegnelse over persondata I behandler
  • ☐ Identificer det lovlige grundlag for hver type data
  • ☐ Skriv en privatlivspolitik og gør den tilgængelig
  • ☐ Begræns adgangen til persondata i bestyrelsen
  • ☐ Brug et sikkert system til medlemsdata
  • ☐ Etabler rutine for sletning af data (udmeldte, gamle data)
  • ☐ Lav retningslinjer for billeder og sociale medier
  • ☐ Informer nye medlemmer om jeres datahåndtering
  • ☐ Hav en plan for indsigtsanmodninger

Sikker medlemshåndtering med Foreningsstyring

Adgangskontrol, sikker opbevaring, og nem sletning af medlemsdata. GDPR-venligt fra dag ét.

Prøv Foreningsstyring gratis →

Denne artikel er sidst opdateret den 15. januar 2026. Den erstatter ikke juridisk rådgivning. Kontakt Datatilsynet eller en GDPR-rådgiver for konkret vejledning.

Se alle artiklerPrøv Foreningsstyring gratis i 14 dage →