Consent Management: GDPR-krav, hvad du skal tracke og best practices
Consent management handler om at indsamle, opbevare og dokumentere samtykke korrekt. Lær GDPR-kravene, hvad en consent record skal indeholde, og best practices.
Consent management er processen med at indsamle, registrere, opbevare og administrere samtykke fra personer til behandling af deres persondata — typisk i konteksten af email marketing, tracking og profiling.
Under GDPR er samtykke en af seks lovlige grundlag for databehandling. For email marketing er det i praksis det eneste relevante grundlag for de fleste virksomheder (undtagen eksisterende kundeforhold, der kan håndteres via “legitimate interest”).
Hvad GDPR kræver af samtykke
GDPR stiller fire krav til gyldigt samtykke:
1. Frivilligt
Samtykke må ikke være en betingelse for adgang til en service (medmindre databehandlingen er nødvendig for servicen). “Tilmeld dig vores nyhedsbrev for at downloade denne guide” er i gråzonen.
2. Specifikt
Du skal bede om samtykke til hvert formål separat. Et samlet checkbox der dækker “nyhedsbrev + tredjepartspartnere + profiling” er ugyldigt. Hvert formål kræver sit eget samtykke.
3. Informeret
Personen skal vide præcis hvad de siger ja til. Generiske formuleringer som “vi kan kontakte dig” er ikke tilstrækkeligt. Specificer: hvad du sender, hvor ofte, og hvem der sender.
4. Utvetydigt
Samtykke kræver en aktiv handling. Pre-checked boxe er forbudte. Passivitet (“hvis du ikke fravælger…”) er ikke samtykke.
Hvad en consent record skal indeholde
Nar Datatilsynet banker pa, skal du kunne fremvise dokumentation. Hver consent record skal som minimum indeholde:
- Hvem: Email-adresse eller anden identifikator
- Hvornår: Præcist tidsstempel (dato + klokkeslæt + tidszone)
- Hvordan: Hvilken formular, side eller touchpoint
- Hvad: Den præcise samtykkotekst personen accepterede
- Kilde: IP-adresse og user agent (browser/enhed)
- Version: Hvilken version af din privacy policy der var gældende
Gem aldrig samtykke som et simpelt boolean-flag i din database. Du har brug for den fulde kontekst.
Double opt-in: anbefalet men ikke påkrævet
GDPR kræver ikke eksplicit double opt-in, men det er best practice af to grunde:
- Bevisførelse — double opt-in giver dig dokumentation for at ejeren af emailadressen aktivt bekræftede. Uden det kan nogen hævde en anden brugte deres email.
- Listekvalitet — det eliminerer stavefejl, falske adresser og bots, hvilket reducerer din bounce rate og forbedrer deliverability.
Retten til at trække samtykke tilbage
GDPR giver personer ret til at trække samtykke tilbage når som helst, og det skal være lige så nemt som at give det. I praksis betyder det:
- Et tydeligt unsubscribe-link i hver email
- Mulighed for at administrere præferencer (fx fravælge visse typer kommunikation men beholde andre)
- Behandling af tilbagetrækning inden for en rimelig tidsramme (ideelt øjeblikkeligt, maksimalt 30 dage)
Når samtykke trækkes tilbage, skal du stoppe behandlingen men beholde consent recorden som dokumentation for at du havde samtykke i den periode du sendte.
Audit trail
En komplet audit trail logger ikke bare det initielle samtykke, men alle ændringer:
- Hvornår samtykke blev givet
- Hvornår præferencer blev ændret
- Hvornår samtykke blev trukket tilbage
- Hvem/hvad der initierede hver ændring
Det beskytter dig ved tilsyn og giver dig et klart billede af hver kontakts samtykke-historik.
Praktisk implementering
- Byg consent ind i din signup-flow fra dag ét — det er markant nemmere end at retrofitte
- Brug separate checkboxes for hvert formål
- Gem den komplette consent record (ikke bare et flag)
- Implementer et preference center hvor kontakter kan administrere deres samtykke
- Automatiser tilbagetrækning via unsubscribe-links
Læs mere om GDPR-compliant email marketing i vores GDPR-guide til email marketing.