Tillbaka till insikter
FÖRETAG

Hur en Vakteye-skanning faktiskt fungerar

Vakteye TeamMar 20, 20268 min läsning

Du skriver in en domän. Du klickar på skanna. Under två minuter senare har du en compliancerapport med bevisning: nätverksinspelningar, kakbilder, webbläsarsessioner och juridiska artikelreferenser. Inte åsikter. Bevis.

De flesta complianceverktyg ger dig en checklista. Vakteye ger dig bevisning. Så här går det till.

Din webbplats laddas. Här är vad vi ser.

I samma ögonblick som en skanning startar körs dussintals kontroller parallellt från ett EU-datacenter. Tänk på det som en läkare som kontrollerar vitalparametrar: puls, blodtryck, temperatur, allt samtidigt.

Vi spårar dina domänposter för att hitta spårare som gömmer sig bakom dina egna subdomäner. Vi kontrollerar din kryptering: är ditt certifikat giltigt och är anslutningen ordentligt säkrad? Vi verifierar din e-postinställning för att säkerställa att angripare inte kan skicka falska e-postmeddelanden som utger sig för att vara ditt företag.

Samtidigt laddar en webbläsare din webbplats utan att röra samtyckesbannern. Denna baslinjebild fångar varje kaka och varje nätverksförfrågan som skickas innan en besökare gör något val. Vi upptäcker fingeravtryckstekniker (skript som försöker identifiera besökare genom deras webbläsare, skärm eller ljudinställningar). Vi kontrollerar om sessionsåtergivningstjänster spelar in dina besökares musrörelser.

Vi skannar också varje formulär på din webbplats. Om ett registreringsformulär samlar in hälsouppgifter, religiösa övertygelser eller andra känsliga personuppgifter utan korrekta skyddsåtgärder är det en artikel 9-överträdelse. Vakteye fångar det.

Allt detta sker under de första sekunderna.

Nu testar vi din samtyckesbanner

Vakteye stöder tusentals samtyckeshanteringsplattformar. För de allra flesta webbplatser kan vi hitta och klicka på avvisningsknappen automatiskt. För de sällsynta webbplatser med ovanliga eller kraftigt anpassade samtyckesbannrar tar automatiserad visuell analys över. Den kan läsa skärmen, hitta knappar och navigera samtyckesflöden den aldrig sett förut.

Resultatet är detsamma: vi får en ren avvisningsåtgärd på praktiskt taget varje webbplats vi skannar.

Vi klickar på avvisa. Sedan övervakar vi.

Efter att ha klickat på avvisa väntar Vakteye. Sedan kontrolleras varje kaka igen. Varje ny spårningskaka som dök upp efter att besökaren uttryckligen nekat samtycke är en överträdelse, och beviset är beteendemässigt. Kakan finns. Besökaren sa nej. Det är hela argumentet.

Sedan kommer zombiedetektering. Vakteye rensar alla kakor, väntar och kontrollerar igen. Kakor som återuppstår efter radering är utformade för att kringgå besökarens val. Beviset är obestridligt: kakan raderades och den kom tillbaka.

Vi övervakar också nätverkstrafik efter avvisning. Om data fortfarande flödar till reklam- eller analystjänster efter att besökaren nekat spårning är det en mätbar överträdelse av deras uttryckliga val.

Det här är skillnaden mellan "jag tror att han stal det" och "här är övervakningsfilmen."

Vi klickar på acceptera i en ren webbläsare

En helt ny webbläsare utan kakor och utan historik laddar webbplatsen och klickar på acceptera. Detta skapar den tredje ögonblicksbilden i en trippeljämförelse: baslinje (ingen interaktion), avvisa och acceptera.

Trippeljämförelsen avslöjar flera typer av överträdelser. Samtycksteater: bannrar där avvisa och acceptera ger identiska resultat, vilket innebär att bannern bara är dekorativ. Spårning innan samtycke: kakor som dyker upp innan någon besökarinteraktion. Icke-funktionell accept: acceptknappar som inte ändrar någonting, vilket antyder att webbplatsen spårar oavsett val.

Efter accept kontrollerar Vakteye också vilka tredjepartstjänster som tar emot data och jämför det mot vad samtyckesbannern redovisade. Leverantörer som tar emot data men inte listas i samtycksgränssnittet flaggas som ej deklarerade, en transparensöverträdelse.

Vi läser din integritetspolicy. Sedan kontrollerar vi om den stämmer.

Det här är där det blir intressant. Vakteye läser din integritetspolicy och extraherar varje konkret påstående: "Vi använder inte tredjepartsspårning." "Data lagras inom EU." "Vi sätter bara nödvändiga kakor."

Sedan kontrolleras varje påstående mot skanningsbevisningen. Om din policy säger "vi delar inte data med tredje parter" men skanningen hittade ett dussin tredjepartsspårningstjänster som laddas på din startsida, är det en motsägelse. Om din policy säger "data lagras inom EU" men din infrastruktur pekar mot USA-baserade servrar utan adekvat skydd, är det en motsägelse.

Varje motsägelse kopplas till de specifika GDPR-artiklar den bryter mot: artikel 5(1)(a) för transparens, artikel 13 för informationsskyldighet, artikel 6(1)(a) för samtycke. Bevisningen bifogas: vad policyn påstod, vad skanningen hittade och gapet däremellan.

Din integritetspolicy gör löften. Vi kontrollerar kvittona.

Vi letar efter sårbarheter

Säkerhetsskanning körs parallellt under varje skanning.

  • Detektering av kända sårbarheter: tusentals kontroller för säkerhetsbrister, felkonfigurationer och exponerade känsliga filer
  • Applikationssäkerhetstestning: kan en angripare injicera kod på din webbplats, stjäla användarsessioner eller kringgå dina säkerhetsskydd?
  • Tillgänglighetsskanning: uppfyller din webbplats de tillgänglighetskrav som det europeiska tillgänglighetsdirektivet ställer?

Det här är riktiga säkerhetstester, inte kryssrutebedömningar. När skanningen hittar en sårbarhet anges allvarlighetsgrad, bevisning och åtgärdssteg.

Vakteye kontrollerar även vart din data tar vägen. Överföringar till länder utan adekvat dataskydd flaggas, tillsammans med de specifika juridiska skyldigheter som gäller. Om din webbplats samlar in data från barn utan åldersverifiering flaggas det också.

En människa granskar allting

Varje fynd genomgår manuell expertverifiering. Granskare ser hela bevisningen: skärmdumpar, nätverksinspelningar, kakbilder och den konfidensnivå som skannern tilldelade.

Granskningsprocessen lär sig av erfarenhet. När en granskare markerar ett fynd som falskt positivt sparas den korrigeringen. Nästa gång skannern stöter på samma mönster kommer den ihåg. Systemet blir mer träffsäkert med varje granskning.

Träffsäkerheten mäts veckovis, nedbrutet per fyndtyp. Det här är ingen svart låda. Träffsäkerheten spåras och förbättras över tid.

Bara uttryckliga granskningsbeslut per fynd matar inlärningssystemet. Bulkgodkännanden räknas inte. Detta förhindrar att en enda slarvig granskning påverkar framtida träffsäkerhet.

Du får bevis, inte åsikter

Slutresultatet är inte en PDF-checklista. Det är ett forensiskt bevispaket.

  • Nätverksinspelningar: trafik inspelad under baslinje-, avvisnings- och acceptfaser, så du kan se exakt vad som hände i varje steg
  • Webbläsarsessioner: spelbara inspelningar du kan stega igenom bild för bild
  • Kakbilder: sida vid sida-jämförelse av kaktillstånd före och efter samtyckesinteraktioner
  • Manipulationssäkert manifest: kryptografisk verifiering av varje bevisfil, som skapar en granskningsbar beviskedja
  • Juridiska artikelreferenser: varje fynd kopplat till specifika GDPR-artiklar, NIS2-kontroller eller DIFC-bestämmelser med tillämpliga bötesnivåer

Hela bevispaketet kan laddas ner. Det här är bevis som en tillsynsmyndighet kan granska, inte en PDF-checklista du arkiverar och glömmer.

Varje fynd bär den relevanta juridiska artikelreferensen, tillämplig bötesnivå och specifika åtgärdsrekommendationer i tre jurisdiktioner: GDPR, NIS2 och DIFC. Ett dataskyddsombud kan ge detta till en tillsynsmyndighet och säga: här är vad vi hittade, här är bevisen, här är vad vi gjorde åt det.

Se det i praktiken

Kör en skanning på din egen webbplats och se exakt vad Vakteye hittar, med bevis för varje fynd.

Starta gratis skanning
Föregående

Compliancerapport vs. konsekvensbedömning vs. ledningssammanfattning: Vilken rapport behöver du?

Nästa

Vakteye vs kakskannrar: vad vi gör som de inte kan

Relaterade artiklar

FÖRETAG5 min läsning

Så fungerar Vakteyes compliance-scanner

Automatiserad skanning, samtyckestestning, motsägelsedetektering och mänsklig granskning — så här granskar Vakteye din webbplats på samma sätt som en tillsynsmyndighet.

FÖRETAG5 min läsning

Evidensbaserad efterlevnad: Varför skärmdumpar och HAR-filer slår checklistor

Tillsynsmyndigheter vill ha bevis, inte löften. Vakteyes kriminaltekniska bevissystem producerar webbläsarsessionsinspelningar, HAR-filer och cookiediffar som håller vid tillsyn.

FÖRETAG5 min läsning

Kontinuerlig efterlevnadsövervakning: Varför engångsskanningar inte räcker

Webbplatser förändras konstant. En godkänd skanning idag betyder ingenting om tre månader. Kontinuerlig övervakning fångar efterlevnadsavdrift innan tillsynsmyndigheter gör det.