GDPR-checklista för din webbplats -- 4 saker att kontrollera

Din cookie-banner måste ge besökaren ett aktivt val för varje kategori av cookies -- nödvändiga, statistik och marknadsföring. IMY har slagit fast att förkryssade rutor och cookie-väggar som tvingar godkännande inte uppfyller kraven ^[1]. Tekniskt innebär det att skript från exempelvis Google Analytics och annonsnätverk måste blockeras tills samtycke ges, inte bara informeras om. Verktyg som Cookiebot, CookieYes och Complianz hanterar detta automatiskt genom att skanna din sajt och blockera tredjepartsskript. Reglerna bygger på både GDPR och lagen om elektronisk kommunikation (LEK), så din lösning behöver uppfylla båda regelverken ^[2].

Utöver cookie-hanteringen behöver du en integritetspolicy som beskriver vilka personuppgifter du samlar in, varför, vilken rättslig grund du stöder dig på, hur länge uppgifterna sparas och vilka rättigheter den registrerade har ^[2]. Policyn ska vara skriven på begripligt språk och uppdateras varje gång du lägger till nya tjänster som hanterar besöksdata. Strukturera den med tydliga rubriker för varje behandling -- kontaktformulär, nyhetsbrev, webbanalys -- så att både besökare och du själv enkelt kan hålla den aktuell.

Alla externa tjänster som behandlar personuppgifter åt dig -- webbhotell, e-postleverantör, analysverktyg, nyhetsbrevstjänst -- kräver ett personuppgiftsbiträdesavtal (PUB-avtal) enligt GDPR artikel 28 ^[2]. De flesta seriösa leverantörer erbjuder standardiserade avtal via sin webbplats eller kontrollpanel. Din uppgift är att säkerställa att avtalen är signerade, att du kan uppvisa dem vid tillsyn och att du har koll på vilka underbiträden leverantören använder, eftersom dessa påverkar var uppgifterna behandlas.

Var din data lagras fysiskt spelar också en avgörande roll. Om ditt webbhotell har servrar utanför EU/EES måste det finnas en giltig överföringsmekanism, som standardavtalsklausuler eller ett adekvansbesked ^[3]. Den enklaste strategin är att välja ett webbhotell med servrar inom Sverige eller EU, vilket eliminerar frågan om tredjelandsöverföringar. Kontrollera även var backup-kopior lagras -- vissa leverantörer replikerar data till andra regioner, vilket tekniskt sett utgör en överföring som behöver rättsligt stöd.

Flera europeiska dataskyddsmyndigheter har slagit fast att Google Analytics kan innebära en otillåten tredjelandsöverföring om inga skyddsåtgärder vidtas ^[4]. För att använda GA4 GDPR-konformt måste du blockera skriptet tills besökaren godkänt statistikcookies, verifiera att IP-anonymisering är aktiverad och stänga av onödiga datadelningsfunktioner. Ett alternativ är europeiska verktyg som Matomo, Plausible eller Fathom -- de två sistnämnda är cookiefria och kräver ofta inte samtycke alls. För den som vill behålla Google Analytics erbjuder serverside tagging via en EU-baserad server ett starkare skydd ^[4].

Google Analytics är bara ett av många skript som kan skapa problem. Typsnitt från Google Fonts, inbäddade YouTube-videor, sociala medier-knappar och chattwidgetar kan alla överföra personuppgifter utan att besökaren vet om det -- tyska myndigheter har utdömt skadestånd enbart för användning av Google Fonts ^[5]. Gör en inventering av alla externa resurser din sajt laddar via webbläsarens utvecklarverktyg. Hosta resurser lokalt där det är möjligt, använd facade loading för videor och se till att övriga tredjepartsskript fångas av din samtyckeshantering.

GDPR ger besökare rätt till tillgång, rättelse, radering och dataportabilitet, och du måste kunna hantera dessa förfrågningar inom 30 dagar ^[2]. I praktiken innebär det att du behöver veta exakt var personuppgifter lagras -- kontaktformulär, kommentarer, kundkonton, nyhetsbrevstjänster, analysverktyg -- och hur du raderar dem i varje system. Ha en process för att verifiera identiteten hos den som gör en begäran, och dokumentera varje förfrågan och ditt svar för att kunna visa att du uppfyllt dina skyldigheter vid tillsyn ^[1].

GDPR artikel 32 kräver även att du vidtar lämpliga tekniska åtgärder för att skydda personuppgifter, som minimum SSL/TLS-kryptering, starka lösenord, uppdaterad programvara och regelbundna säkerhetskopior ^[2]. Ditt val av webbhotell påverkar säkerhetsnivån direkt -- leverantörer med hanterad hosting, brandvägg på servernivå och krypterade backuper ger ett starkare grundskydd. Upprätta dessutom en incidenthanteringsplan: enligt artikel 33 ska personuppgiftsincidenter rapporteras till IMY inom 72 timmar ^[6]. Genomför en regelbunden översyn av hela din GDPR-efterlevnad minst en gång per kvartal.