Automatisering frigør tid og fjerner manuelle fejl — men hver gang du sender kundedata gennem Make, Zapier eller n8n, har du også et ansvar efter GDPR. Den gode nyhed: med få konkrete greb kan du automatisere lige så frit som før og samtidig stå rent overfor reglerne. Her får du den praktiske guide, der gør GDPR til en del af opsætningen i stedet for en bremseklods.
Hvorfor GDPR er en automatiseringsopgave — ikke en juridisk
De fleste SMV’er tror, at GDPR handler om at få et nyt cookie-banner. I virkeligheden er det dine integrationer, der flytter personoplysninger i baggrunden — fra webformularer til CRM, til regnskab, til e-mail-værktøj, til Slack. Hvert led skal kunne dokumenteres, og data må kun lagres så længe det er nødvendigt. Det er præcis her, automatisering kan både være problemet og løsningen.
1. Kortlæg dine dataflows før du bygger
Inden du starter et nyt scenarie i Make eller en workflow i n8n, så tegn det op: Hvilke data starter hvor? Hvor ender de? Hvem har adgang? Brug 10 minutter på et simpelt flowdiagram — det er ofte det eneste, der mangler for at have et reelt overblik. Hvis du er ny til selve automatiseringsdelen, så start her: sådan automatiserer du dine arbejdsgange som lille virksomhed.
2. Vælg værktøjer med europæisk datahosting
Alle de store automatiseringsplatforme tilbyder EU-regioner — men de er sjældent slået til som standard. Når du opretter en konto, så vælg aktivt en EU-region (Make har “EU2”-zonen, n8n kan selvhostes i Europa, Zapier tilbyder enterprise-EU). Det skåner dig for de juridiske gråzoner omkring overførsel af data til tredjelande. Læs vores sammenligning af n8n, Make og Zapier, hvis du stadig er ved at vælge platform — datahosting er et reelt udvælgelseskriterium, ikke kun pris og features.
3. Send kun de felter, der reelt skal bruges
En klassisk fejl er at lade hele kontaktobjektet flyde mellem systemer. Hvis dit mailværktøj kun skal bruge fornavn og e-mail, så map kun de to felter. Det reducerer både risiko og kompleksitet, og det er et af principperne i GDPR (dataminimering) sat direkte ind i din opsætning.
4. Slet automatisk det, der ikke længere må gemmes
Tidsbegrænset opbevaring er noget af det letteste at automatisere — og noget af det, færrest gør. Lav et månedligt scenarie, der finder kontakter ældre end fx 3 år uden aktivitet og enten arkiverer eller sletter dem. Det er ti minutters opsætning, og det dokumenterer i sig selv, at I overholder reglen om opbevaringsbegrænsning.
5. Brug krypterede forbindelser og app-passwords
API-nøgler hører hjemme i platformens secret store — ikke i et felt i selve workflowet. Drej desuden nøgler hvert halve år. Hvis du arbejder med kundeoplysninger i din CRM, så sørg for at integrationen kører over HTTPS og at brugere har præcis de roller, de skal have — ikke admin “for en sikkerheds skyld”. Se hvordan en sund CRM-automatisering ser ud, når adgang og roller er styret korrekt.
6. Log hvad der sker — og hvem der ser det
Både Make, Zapier og n8n har execution logs. Tjek hvor længe de gemmes (og om du kan skrue dem ned). Et godt udgangspunkt er at gemme logs i 30-90 dage til fejlfinding, og slette dem derefter. For særligt følsomme flows kan du skrive et separat audit-log til fx Google Sheets eller en database, hvor du kun gemmer hash-værdier, ikke selve dataene.
7. Hav en databehandleraftale med alle leverandører
Make, Zapier, n8n Cloud, OpenAI, HubSpot, Mailchimp — alle skal have en databehandleraftale (DPA) liggende. De er gratis og findes som regel på leverandørens hjemmeside. Saml dem ét sted (fx i en mappe i Drive), så du kan vise dem hvis Datatilsynet en dag spørger.
Konklusion: GDPR-sikkerhed er en gratis sidegevinst, hvis du gør det fra starten
Du behøver ikke en advokat for at automatisere ansvarligt. De syv greb ovenfor dækker langt størstedelen af, hvad en typisk dansk SMV har brug for — og de gør faktisk dine workflows mere robuste på samme tid. Vil du have hjælp til at gå dine eksisterende flows efter i sømmene? Kontakt Streamline Studio for en uforpligtende snak om, hvad vi kan automatisere — sikkert — for din virksomhed.