GDPR og regnskab – sådan rådgiver revisor kunder

Blog, 15.09.2025

Persondata spiller en central rolle i alle virksomheder, og når det gælder regnskab, er kravene særligt skarpe. GDPR handler ikke kun om markedsføring og kundedata – det handler også om de oplysninger, der behandles i bogholderiet. Her håndterer revisorer ofte følsomme oplysninger om både kunder, medarbejdere og leverandører. Derfor har de en vigtig opgave i at rådgive virksomheder om, hvordan man lever op til lovgivningen. Denne artikel ser nærmere på, hvordan GDPR og regnskab hænger sammen, og hvordan revisorer kan hjælpe virksomheder med at navigere sikkert i krydsfeltet mellem tal og databeskyttelse.

Hvad betyder GDPR for regnskabsdata?

GDPR – eller databeskyttelsesforordningen – handler grundlæggende om at sikre, at persondata behandles lovligt, sikkert og gennemsigtigt. Når vi taler om regnskab, kan det virke som om, at det primært handler om tal. Men bag tallene gemmer der sig ofte personoplysninger.

Et lønregnskab indeholder fx følsomme data om medarbejdere: CPR-numre, lønniveau, skatteoplysninger og bankkonti. Kundedata i fakturaer kan indeholde navne, adresser og i nogle tilfælde personnumre. Selv leverandørfakturaer kan være knyttet til enkeltmandsvirksomheder, hvor ejerens personlige oplysninger indgår.

Det betyder, at regnskabsdata falder direkte ind under GDPR’s rammer. Derfor stilles der krav til:

  • Formålsbegrænsning: Data må kun bruges til det formål, de er indsamlet til – fx bogføring.

  • Dataminimering: Kun de nødvendige oplysninger må gemmes.

  • Opbevaringsperiode: Regnskabsdata skal gemmes i 5 år efter bogføringsloven, men ikke længere end nødvendigt til andre formål.

  • Sikkerhed: Data skal beskyttes mod uautoriseret adgang, fx med kryptering eller adgangsbegrænsning.

Udfordringen for mange virksomheder er at balancere kravene i GDPR med de øvrige lovkrav i regnskabslovgivningen. Her kan revisor være en vigtig sparringspartner.

Revisors rolle i at sikre korrekt databehandling

Revisor har en dobbeltrolle: På den ene side er der ansvar for selv at leve op til GDPR i forbindelse med behandling af kundedata. På den anden side har revisor en rådgivende rolle i forhold til at hjælpe virksomheder med at forstå og efterleve reglerne.

For revisor betyder det først og fremmest, at man har klare procedurer internt. Det indebærer:

  • Indgåelse af databehandleraftaler, når tredjepart har adgang til regnskabsdata.

  • Sikker opbevaring af dokumentation – både fysisk og digitalt.

  • Kontroller, der sikrer, at data kun tilgås af relevante medarbejdere.

I rådgivningsrollen hjælper revisor kunder med at identificere, hvor de største risici ligger. Typisk handler det om lønsystemer, fakturering og arkivering af bilag. Her kan små fejl føre til store brud på GDPR.

Revisor kan fx rådgive om:

  • Hvordan man indhenter og opbevarer samtykke, hvor det er nødvendigt.

  • Hvordan man indfører adgangsstyring i økonomisystemet.

  • Hvordan man sikrer korrekt sletning eller anonymisering, når data ikke længere skal bruges.

En vigtig pointe er, at GDPR ikke kun handler om jura – det handler også om praksis. Hvis medarbejdere sender lønoplysninger ukrypteret på mail, hjælper selv den bedste politik ikke. Derfor lægger revisor vægt på både systemer og adfærd.

Sådan hjælper revisor virksomheder med at efterleve GDPR

Revisors rådgivning om GDPR i relation til regnskab kan deles i tre faser: analyse, implementering og opfølgning.

  1. Analyse
    Revisor starter ofte med en gennemgang af virksomhedens processer:

  • Hvilke persondata indsamles i regnskabet?

  • Hvor opbevares de, og hvem har adgang?

  • Er der områder, hvor data håndteres unødigt eller usikkert?

  1. Implementering
    På baggrund af analysen hjælper revisor med at udarbejde eller tilpasse politikker og procedurer. Det kan være nye arbejdsgange, fx at bilag med persondata scannes ind i et sikkert system i stedet for at ligge fysisk i en mappe.

  2. Opfølgning
    GDPR er ikke en engangsopgave. Revisor anbefaler ofte, at der laves løbende kontroller og årlige evalueringer, så virksomheden hele tiden lever op til reglerne.

Et praktisk eksempel: En mindre virksomhed brugte Dropbox til at dele regnskabsbilag med revisor. Det var praktisk, men ikke GDPR-sikkert. Revisor foreslog i stedet en krypteret løsning med adgangskontrol. Det sikrede både compliance og tryghed.

På den måde kan revisor hjælpe virksomheder med at gøre GDPR håndgribeligt og praktisk i hverdagen. Det handler ikke om at skabe ekstra bureaukrati, men om at integrere databeskyttelse i de eksisterende processer.

Når GDPR møder regnskab, opstår der særlige krav og udfordringer. Med en revisors hjælp kan du skabe systemer, der både lever op til lovgivningen og samtidig gør hverdagen nemmere.

Læs også

Få op til 3 tilbud

Læs de nyeste artikler
SKAT-kontrol – revisors rolle som sparringspartner
15. september, 2025

SKAT-kontrol – revisors rolle som spar...

Når SKAT banker på døren, kan det skabe utryghed hos enhver virksomhed. En kontrol betyder ikke nødvendigvis, at noget e...

 Læs blogindlæg
Hvad en revisor gør, når der opdages fejl i årsrapporten
15. september, 2025

Hvad en revisor gør, når der opdages f...

En årsrapport er virksomhedens officielle billede af økonomien og bruges af både myndigheder, investorer, banker og sama...

 Læs blogindlæg
GDPR og regnskab – sådan rådgiver revisor kunder
15. september, 2025

GDPR og regnskab – sådan rådgiver re...

Persondata spiller en central rolle i alle virksomheder, og når det gælder regnskab, er kravene særligt skarpe. GDPR han...

 Læs blogindlæg
Hvidvaskloven – revisors ansvar og dine forpligtelser
15. september, 2025

Hvidvaskloven – revisors ansvar og din...

Hvidvaskloven er et centralt værn mod økonomisk kriminalitet og skal forhindre, at ulovlige penge bliver kanaliseret ind...

 Læs blogindlæg

Spørgsmål og svar

Revisor kan rådgive om databehandleraftaler, sikre arbejdsgange og løbende kontroller, så virksomheden overholder loven.

  • Ja, fordi regnskabsdata ofte indeholder personoplysninger om medarbejdere, kunder eller leverandører.

Ved at gemme data i den lovpligtige periode, men samtidig sikre, at de ikke bruges til andre formål eller opbevares længere end nødvendigt.