Udgivet i Arbejde og Karriereliv

Hvad betyder tavshedspligt på arbejdspladsen?

Af Hvadbetyder.dk

Har du nogensinde siddet ved frokostbordet og overvejet, om den historie fra kundemødet eller den nye strategi, du lige har fået indblik i, egentlig må deles med kollegerne - eller måske endda med vennerne derhjemme? Tavshedspligt kan virke som et tørt jurabegreb, men i praksis er det den usynlige sikkerhedsline, der beskytter både dig, din arbejdsplads og de mennesker, hvis data I håndterer.

I en tid hvor et enkelt screenshot kan rejse verden rundt på få sekunder, og hvor AI-værktøjer, cloud-tjenester og sociale medier konstant frister os til at dele, er det vigtigere end nogensinde at kende reglerne for, hvad man må - og ikke må - sige videre. Overtræder du tavshedspligten, kan konsekvenserne spænde fra en løftet pegefinger til bøder, erstatningskrav eller ligefrem bortvisning.

I denne guide dykker vi ned i, hvad tavshedspligt på arbejdspladsen egentlig betyder, hvilke love der sætter rammerne, og hvordan du i hverdagen kan navigere sikkert mellem tillid, samarbejde og hemmeligholdelse. Uanset om du er medarbejder, leder, konsulent eller praktikant, får du konkrete eksempler, gode råd og en praktisk tjekliste, så du kan være sikker på, at fortroligheden holder - også når hverdagen kører i højeste gear.

Klar til at komme bag kulissen og sikre, at dine ord ikke ender det forkerte sted? Lad os komme i gang!

Hvad er tavshedspligt på arbejdspladsen?

Tavshedspligt er den lov- og kontraktmæssige forpligtelse til ikke at videregive eller udnytte oplysninger, som man får kendskab til gennem sit arbejde. Formålet er tredobbelt:

  1. Beskyttelse af personoplysninger — fx medarbejderes helbredsoplysninger eller kunders CPR-numre.
  2. Sikring af forretningshemmeligheder — strategier, kildekode, priskalkulationer m.m.
  3. Skærmning af interne forhold — uafsluttede forhandlinger, HR-sager, disciplinærsager osv.

Hvem er omfattet?

RolleEksempler
MedarbejdereFastansatte fuld- og deltidsansatte, timelønnede
Ledere og direktionAfdelingsledere, C-level, bestyrelse
Vikarer og studerendeVikarbureauansatte, studentermedhjælpere, praktikanter
Eksterne konsulenterIT-konsulenter, revisorer, advokater
SamarbejdspartnereUnderleverandører, freelance-specialister, outsourcing-teams

Så snart en person får adgang til virksomhedens eller myndighedens fortrolige data, er vedkommende som udgangspunkt omfattet af tavshedspligten – uanset anciennitet og kontraktform.

Tavshedspligt, loyalitetspligt og nda – hvad er forskellen?

  • Tavshedspligt
    En legal pligt, der følger af lovgivning (fx Straffeloven, Forretningshemmelighedsloven, GDPR) og af almindelige ansættelsesretlige principper. Den gælder som udgangspunkt allerede fra første arbejdsdag og fortsætter typisk efter ansættelsens ophør.
  • Loyalitetspligt
    En bredere adfærdsmæssig forpligtelse for medarbejdere til at handle loyalt over for arbejdsgiveren. Den omfatter bl.a. at undlade at skade virksomhedens omdømme eller økonomi, også når man ytrer sig offentligt. Loyalitetspligten kan godt overtrædes uden at fortrolige oplysninger røbes.
  • Fortrolighedsaftale (NDA – Non-Disclosure Agreement)
    En kontrakt som specificerer, hvilke informationer der er fortrolige, hvor længe forpligtelsen gælder, og hvilke sanktioner der kan udløses ved brud. En NDA kan skærpe eller konkretisere tavshedspligten, men kan aldrig indskrænke medarbejderens lovbestemte rettigheder (fx whistleblowerret).

Man kan illustrere forholdet sådan:

Tavshedspligten er bunden af loven, loyalitetspligten er bunden af ansættelsesforholdet, og NDA'en er bunden af kontrakten. I praksis overlapper de hinanden og skaber tilsammen et stærkt værn om både personfølsomme data og virksomhedens interesser.

Lovgrundlag: Hvilke regler gælder i Danmark?

Tavshedspligten bygger ikke på én samlet lov, men et kludetæppe af regler, som tilsammen sikrer, at følsomme eller forretningskritiske oplysninger ikke slipper ud. Nedenfor finder du de vigtigste kilder - sorteret efter, hvor de typisk har størst betydning.

Regelgrundlag Hovedindhold Typisk målgruppe
Straffelovens §§ 152-152 e Forbyder uberettiget videregivelse af fortrolige oplysninger, som man har fået kendskab til gennem sit arbejde i det offentlige. Overtrædelse kan straffes med bøde eller fængsel. Offentligt ansatte, politisk valgte, offentlige leverandører m.fl.
Lov om forretningshemmeligheder (Lov nr. 309/2018) Beskytter virksomheders know-how, prisstrategier, kildekode, kundelister osv. Modparten kan pålægges erstatning, destruktion, forbud og offentliggørelse af dom. Alle virksomheder (privat og offentlig sektor med erhvervsaktiviteter)
GDPR + Databeskyttelsesloven Regulerer behandling af personoplysninger. Indeholder bl.a. krav om passende tekniske og organisatoriske sikkerhedsforanstaltninger og om anmeldelse af brud inden 72 timer. Alle dataansvarlige og databehandlere - både private og offentlige
Ansættelseskontrakt & NDA Kontrakten (og eventuel fortrolighedsklausul/NDA) konkretiserer virksomhedens krav om hemmeligholdelse, ofte med bods- og erstatningsbestemmelser. Medarbejdere, vikarer, konsulenter, praktikanter
Branchespecifik lovgivning Særlovgivning med skærpet tavshedspligt - fx Sundhedslovens § 40 (patientoplysninger), Revisorlovens § 32, Finanstilsynets regler, Skatteforvaltningsloven m.fl. Autoriserede sundheds­personer, revisorer, bankansatte, skatte­medarbejdere osv.

Privat vs. Offentlig sektor - De vigtigste forskelle

  1. Direkte lovhjemmel: Offentligt ansatte er direkte underlagt Straffelovens tavshedspligtsregler. I privat regi stammer pligten typisk fra kontrakt, loyalitetspligt og lov om forretningshemmeligheder.
  2. Sanktionstype: Offentlige brud kan føre til straf (bøde/fængsel). I privat sektor er konsekvenserne oftest ansættelsesretlige (advarsel, bortvisning) og/eller erstatnings­retlige, men alvorlige læk kan også straffes efter forretningshemmelighedsloven.
  3. Indsigt og offentlighed: Offentlige myndigheder skal balancere tavshedspligt med Offentlighedsloven. Private virksomheder har ikke samme åbenhedskrav, men er fortsat underlagt GDPR’s krav om transparens over for registrerede personer.

Disse regler spiller sammen i praksis

En medarbejder kan altså have flere samtidige tavshedspligter. Eksempel:

  • En sygeplejerske i det offentlige hospitalssystem er omfattet af Sundhedslovens patient­fortrolighed og Straffelovens §§ 152 ff.
  • En softwareudvikler i en privat fintech-virksomhed er bundet af sin kontrakt/NDA, lov om forretningshemmeligheder samt GDPR, hvis løsningen behandler persondata.
  • En freelancekonsulent, der arbejder hos en offentlig myndighed, skal både overholde myndighedens interne sikkerhedsregler og Straffelovens bestemmelser, selvom vedkommende ikke er fast ansat.

Som udgangspunkt gælder den strengeste regel, hvis flere overlapper. Arbejdsgiver bør derfor tydeligt informere alle tilknyttede personer om, hvilke bestemmelser der gælder for netop deres rolle.

Hvad er omfattet – konkrete eksempler

Tavshedspligten dækker langt mere end blot «hemmelige dokumenter». I praksis omfatter den alle oplysninger, som ikke er beregnet til at blive delt uden for en snævert defineret kreds - enten af hensyn til persondatabeskyttelse, forretningsinteresser eller interne forhold.

Typiske kategorier af fortrolige oplysninger

Type Konkrete eksempler Hvorfor fortroligt?
Kundedata & følsomme personoplysninger CPR-numre, helbredsoplysninger, kontakt- og betalingsoplysninger, log-filer med IP-adresser GDPR & Databeskyttelsesloven kræver lovligt grundlag og passende sikkerhed
HR- og personalesager Advarsler, sygefraværsnotater, referater fra MU-samtaler, disciplinærsager Beskytter den ansattes privatliv og virksomhedens interne processer
Løn- og ansættelsesforhold Lønsedler, bonusordninger, kontraktvilkår, forhandlingsnotater Konkurrence- og forhandlingssensitive informationer*
Strategier & forretningsplaner Markedsanalyser, ekspansionsplaner, M&A-overvejelser, produkt-roadmaps Risiko for konkurrencefordel tab og kursmanipulation
Priser, rabatter & tilbud Kundekontrakter, tilbudsbreve, interne kalkulationer, indkøbspriser Omfattet af Lov om forretningshemmeligheder - vigtig for konkurrenceevnen
Kildekode & IP Software-repositories, algoritmer, designfiler, patentskitser Beskytter innovation og know-how; ophavsret & patentret
Interne rapporter & e-mails Finansielle forecasts, revisionsrapporter, samt uformelle chain-mails med følsomt indhold Kan indeholde både persondata og forretningshemmeligheder

*Medarbejdere har ifølge lønåbenhedsloven ret til at drøfte egen løn, men ikke andre ansattes eller virksomhedens samlede lønstatistik, med mindre det er offentliggjort.

Gråzoner - Hvornår er noget ikke fortroligt?

  • Allerede offentliggjort information - f.eks. data fra virksomhedens hjemmeside, årsrapporter eller pressemeddelelser.
  • Anonymiserede eller aggregerede data - hvor enkeltpersoner eller specifikke forretningsforhold ikke kan identificeres.
  • Generel brancheviden - fx offentligt tilgængelige standarder eller best practice-metoder.
  • Personlige erfaringer - egne kompetencer og iagttagelser, så længe konkrete fortrolige detaljer ikke røbes.

Principper for at vurdere fortrolighed

  1. Lovkrav
    Er der særlovgivning (GDPR, sundhedslov, børsregler) der kræver beskyttelse?
  2. Kommerciel værdi eller konkurrencerisiko
    Mister virksomheden markedsfordel, hvis oplysningerne lækkes?
  3. Potentiel skade for personer
    Kan deling krænke privatliv eller forårsage diskrimination/identitetstyveri?
  4. Interne retningslinjer & mærkning
    Er dokumentet stemplet «Fortrolig», «Strengt fortrolig» eller lignende?
  5. Need-to-know-princippet
    Har modtageren et legitimt arbejdsbetinget behov for at kende informationen?

Hvis du er i tvivl, så spørg din nærmeste leder eller compliance-funktion før du deler informationen - tavshedspligten vejer tungere end ønsket om at «hjælpe hurtigt».

Undtagelser, rettigheder og ytringsfrihed

Tavshedspligten er ikke absolut. Der findes flere lovlige undtagelser, hvor det både er tilladt og i nogle tilfælde påkrævet at dele ellers fortrolige oplysninger:

  1. Samtykke fra den registrerede
    Hvis den person (kunde, patient, kollega) som oplysningerne omhandler, udtrykkeligt har givet samtykke, kan oplysningerne deles - dog kun til det formål der er aftalt, og samtykket skal kunne dokumenteres (GDPR art. 7).
  2. “Need-to-know” internt
    Oplysninger må deles med kolleger, der reelt har brug for dem for at kunne udføre deres arbejdsopgaver. Det kan eksempelvis være HR, IT-sikkerhed eller en projektgruppe. Delingen skal stå mål med formålet og bør ske via sikre kanaler.
  3. Lovpligtige indberetninger
    Arbejdsgivere og medarbejdere kan være forpligtet til at videregive oplysninger til offentlige myndigheder - fx SKAT, Arbejdstilsynet, Finanstilsynet eller Politi. Her “trumfer” loven tavshedspligten.
  4. Whistleblowerordningen
    Den danske Whistleblowerlov (Lov nr. 1436 af 29-06-2021) giver ansatte ret til - og beskyttelse ved - at indberette alvorlige lovovertrædelser eller øvrige alvorlige forhold. Indberetningen kan ske internt (arbejdsgivers whistleblowerkanal) eller eksternt til fx Datatilsynet. Tavshedspligten hæves i disse tilfælde, så længe indberetningen foretages i god tro.
  5. Faglig sparring med anonymisering
    Man må gerne drøfte cases med kolleger eller fagfæller, hvis oplysningerne irreversibelt anonymiseres, så personer eller virksomheder ikke kan genkendes. Brug et abstrakt niveau og undgå “kreative” beskrivelser, der indirekte afslører identiteten.

Lønåbenhed - Din ret til at tale om egen løn

I Danmark er det lovligt for lønmodtagere at dele oplysninger om deres egen løn (Ligelønslovens § 2 a). En kontrakt- eller personalehåndbog kan ikke gyldig begrænse denne ret. Derimod må du ikke uden videre videregive kollegers eller virksomhedens samlede lønoplysninger, medmindre disse allerede er offentligt tilgængelige eller deles efter samtykke.

Ytringsfrihed vs. Loyalitetspligt

Ytringsfrihed Loyalitetspligt
Grundlovssikret ret til at udtale sig om samfundsmæssige emner, arbejdsforhold og egne oplevelser. Pligt til ikke at skade arbejdsgiverens berettigede interesser. Gælder både offentligt og privat ansatte.
Må kritisere forhold på arbejdspladsen, hvis det er sagligt og foregår i en ordentlig tone. Må ikke afsløre forretningshemmeligheder eller give urigtige, skadelige oplysninger.
Offentligt ansatte har udvidet ytringsfrihed som led i demokratisk debat. Privatansatte har en mere vidtgående loyalitetspligt, men må stadig ytre sig om fx arbejdsmiljø, diskrimination og ulovligheder.

En god huskeregel er, at du som medarbejder frit kan udtale dig om egen oplevelse og generelle forhold, så længe du ikke afslører fortrolige oplysninger eller skader virksomhedens omdømme med bevidst fejlinformation.

Retningslinjer for sociale medier

  • Afdæk grænserne: Tjek virksomhedens SoMe-politik og husk, at indhold, der først er online, kan viderespredes uden kontrol.
  • Brug “dine egne meninger”-disclaimer: Skriv fx “Holdningerne er mine egne” - men vær opmærksom på, at det ikke ophæver loyalitetspligten.
  • Ingen fortrolige detaljer: Undgå billeder af whiteboards, skærme, prototyper eller interne events, hvis indholdet endnu ikke er offentliggjort.
  • Tag “indefra” først: Rejs kritik internt, før du går offentligt. Finder du ingen lydhørhed, kan whistleblower-ordningen være næste skridt.
  • Respekter persondata: Lad være med at nævne kunder eller patienter ved navn, initialer eller billeder uden yderst klart samtykke.

Kort opsummering

Tavshedspligten står stærkt, men kolliderer ikke med grundlæggende rettigheder. Del kun oplysninger når:

  1. der er lovkrav eller samtykke,
  2. modtageren har strengt behov for kendskab,
  3. der foreligger whistleblower-forhold, eller
  4. oplysningerne er anonymiseret.

Hold dig til fakta, vær saglig, og brug de interne kanaler først - så er du godt dækket ind både juridisk og etisk.

Brud på tavshedspligten: konsekvenser og håndtering

Når tavshedspligten brydes, kan det få vidtrækkende konsekvenser - både for den enkelte medarbejder, de berørte personer og virksomheden som helhed. Nedenfor får du et overblik over de mest almindelige reaktionsmuligheder og et praktisk handle-setup, hvis uheldet er ude.

Mulige konsekvenser

Konsekvens Typiske situationer Lovhjemmel / praksis
Advarsel Mindre, førstegangs-overskridelser eller uforsætlig fejldeling. HR-praksis & ansættelsesretlig proportionalitet.
Opsigelse eller bortvisning Grove eller gentagne brud; læk af følsomme data, forretningshemmeligheder eller konkurrencefølsige oplysninger. Ansættelsesbevisloven § 2, Funktionærloven § 3, Kollektive overenskomster.
Erstatningsansvar Økonomisk tab for virksomheden eller tredjemand - fx tabt ordre, bøde eller omdømmeskade. Dansk rets almindelige erstatningsregler, Lov om forretningshemmeligheder §§ 12-13.
Strafferetlige sanktioner Særligt hos offentligt ansatte, sundhedspersonale m.fl. Straffelovens §§ 152-152 f, Sundhedsloven § 260, Skatteloven § 152.
Administrative bøder For manglende sikkerhedsforanstaltninger eller ulovlig behandling af personoplysninger. GDPR art. 83, Databeskyttelsesloven kap. 10.

Gdpr-brud - 72-timers reglen

Hvis bruddet omfatter personoplysninger, skal virksomheden:

  1. Indrapportere bruddet til Datatilsynet senest 72 timer efter, at det er opdaget (GDPR art. 33).
  2. Dokumentere hændelsen internt (årsag, kategori af oplysninger, antal registrerede, afhjælpende tiltag).
  3. Underrette de berørte registrerede, hvis bruddet højst sandsynligt indebærer en høj risiko for deres rettigheder (art. 34).

Trin-for-trin: Sådan håndteres mistanke eller sikkerhedsbrud

  1. Stop lækagen - beskyt beviser
    • Frakobl relevante systemer eller brugerkonti, mens sporet sikres (logfiler, e-mails, screenshots).
    • Undgå at “rydde op” før IT-sikkerhed eller HR har overblik.
  2. Intern indberetning
    • Medarbejderen orienterer nærmeste leder eller sikkerhedsansvarlig straks.
    • Virksomheden bruger sin fastlagte incident-procedure; evt. whistleblowerkanal ved tvivl om egen ledelse.
  3. Hurtig risikovurdering
    • Hvilke typer data? Hvor følsomme er de? Hvor mange er ramt?
    • Skal Datatilsynet eller andre myndigheder involveres?
  4. Ekstern kommunikation og myndighedsindberetning
    • Indsend anmeldelse til Datatilsynet (evt. foreløbig) med de påkrævede oplysninger.
    • Underret berørte kunder/medarbejdere med klare, handlingsanvisende oplysninger.
  5. Afhjælpe & forebygge
    • Tekniske patches, ændring af adgangsrettigheder, opdaterede politikker.
    • Træning eller gen-træning af personale; revision af NDA’er og processer.
  6. Eventuelle personalesager
    • HR vurderer sanktion: advarsel, opsigelse, bortvisning eller politianmeldelse.
    • Overvej krav om erstatning eller civilretligt forbud (fogedforbud) efter Lov om forretningshemmeligheder.
  7. Efterbehandling & læring
    • Post-mortem møde: hvad gik galt, og hvordan forbedres procedurer og kultur?
    • Opdater beredskabsplaner og rapportér til bestyrelse / ledelse.

Nøglen er hurtig reaktion, gennemsigtighed og en klar rollefordeling mellem HR, IT, ledelse og eventuelle databeskyttelsesrådgivere (DPO).

Gode praksisser og tjekliste til hverdagen

  • Udarbejd en skriftlig informationssikkerheds- og tavshedspolitik, der tydeligt beskriver hvad medarbejderne må og ikke må dele.
  • Indfør årlige e-learning-moduler eller workshops om tavshedspligt, der afsluttes med en kort test.
  • Brug virkelige cases fra jeres egen branche for at øge relevansen.
  • Gør politikken let tilgængelig på intranettet og sørg for versionsstyring, så alle altid har den nyeste udgave.

2. Adgangsstyring - “need to know”

  • Giv kun medarbejdere adgang til systemer og mapper, de reelt skal bruge - både digitalt og fysisk.
  • Anvend rolle- og rettighedsstyring i IT-systemer og gennemfør kvartalsvise reviews.
  • Indfør to-faktor-autentifikation på alle kritiske systemer.

3. Sikre kommunikationskanaler

  • Send aldrig fortrolige oplysninger via ukrypteret e-mail; brug alternativt krypteret mail, sikker filportal eller SFTP.
  • Undgå at dele følsomme filer via private beskedtjenester som Messenger eller WhatsApp, medmindre virksomheden har godkendt dem og slået ende-til-ende-kryptering til.
  • Etabler retningslinjer for telefonmøder i åbne kontorlandskaber - brug headset og tal dæmpet.

4. Dokumentklassificering og ‑mærkning

KategoriEksemplerHåndtering
Fortroligt Kundedata, lønoplysninger, kildekode Krypteret lagring, begrænset adgang, slettes efter behov
Internt Referater, interne KPI-rapporter Må kun deles internt, watermark ved download
Offentligt Pressemeddelelser, marketing-materiale Frit tilgængeligt

Brug metadata-tags eller farvekoder, så alle hurtigt kan se dokumentets klassifikation.

5. Hjemmearbejde og “clean desk”

  • Lås altid skærmen, når du forlader skrivebordet - også derhjemme.
  • Opbevar fysiske dokumenter i låst skuffe/taske, undgå at smide print i husholdningsaffald uden makulering.
  • Anvend VPN og hold operativsystemer + antivirus opdateret.

6. Brug af ai-, cloud- og saas-værktøjer

  • Indfør en “no sensitive data”-regel ved brug af generative AI-tjenester (ChatGPT, Copilot m.fl.).
  • Sørg for databehandleraftaler (DPA) med alle cloud-leverandører; vurder hvor data lagres (EU/EØS).
  • Aktivér datalagring/telemetry-kontrol, så leverandøren ikke må bruge jeres input til modeltræning.

7. Onboarding, offboarding og nda’er

  1. Onboarding: Få medarbejderen til at underskrive eventuel NDA på førstedagen; gennemgå tavshedspolitikken grundigt.
  2. Løbende ansættelse: Registrér adgangsniveauer og opdater dem ved jobskifte internt.
  3. Offboarding:
    • Deaktiver adgang samme dag, overdrag udstyr og slet konti i SaaS-tjenester.
    • Mind den fratrædende om, at tavshedspligten fortsat gælder.

8. Presse- og some-regler

  • Centraliser pressehåndtering: kun godkendte talspersoner må udtale sig på virksomhedens vegne.
  • Lav en kort SoMe-vejledning med do’s & don’ts; brug et grønt/gult/rødt examples-skema, så det er let at forstå.
  • Mind medarbejdere om, at likes, kommentarer og screenshots kan afsløre fortrolige oplysninger.

Tjekliste: 10 hurtige selvkontroller

  1. Er mine systemadgange nødvendige og opdaterede?
  2. Bruger jeg krypterede kanaler, når jeg sender data?
  3. Har jeg låst min skærm, når jeg henter kaffe?
  4. Er dokumentet korrekt klassificeret og mærket?
  5. Smider jeg print i makulatoren?
  6. Har jeg ubevidst delt data i AI-værktøjer?
  7. Er alle cloud-tjenester på den godkendte liste?
  8. Har jeg styr på SoMe-indstillinger (privat/offentligt)?
  9. Er jeg klar over, hvem der er virksomhedens pressekontakt?
  10. Ved jeg, hvordan jeg anmelder et brud eller en mistanke?

Ved konsekvent at følge ovenstående gode praksisser reducerer både medarbejdere og arbejdsgiver risikoen for brud på tavshedspligten - og styrker samtidig tilliden hos kunder, samarbejdspartnere og myndigheder.