Tillbaka till insikter
GUIDE

Så hittar du dolda spårare på din webbplats innan IMY gör det

Vakteye TeamMar 18, 20267 min läsning

De flesta webbplatser har spårare som deras ägare inte känner till. Du kan hitta spårare på webbplatser med hjälp av webbläsarens utvecklarverktyg, men det fångar bara de uppenbara. CNAME-cloaking döljer tredjepartsspårare som förstapartsdomäner. Fingerprinting-skript körs tyst i bakgrunden. Session replay-verktyg spelar in varje musrörelse. Enligt ePrivacy artikel 5(3) kräver var och en av dessa informerat samtycke före aktivering.

IMY använder automatiserad skanning i sina förhandsutredningar. Om din webbplats har dolda spårare som aktiveras före samtycke får du ingen vänlig påminnelse. Du får en formell utredning.

CNAME-cloaking: spåraren som ser ut som din egen domän

CNAME-cloaking döljer tredjepartsspårning som förstapartstrafik. Den fungerar genom att skapa en subdomän på din webbplats, till exempel analytics.dinwebbplats.se, som pekar via en DNS CNAME-post till en tredjepartsspårningsserver. För din webbläsare och de flesta integritetsverktyg ser det ut som en förstapartsbegäran.

Det här spelar roll eftersom förstapartscookies kringgår de flesta webbläsarskydd. Safaris Intelligent Tracking Prevention, Firefox Enhanced Tracking Protection och annonsblockerare fokuserar alla på tredjepartsdomäner. CNAME-dolda spårare slinker igenom.

  • Din DNS har en CNAME-post som pekar en subdomän till en spårningstjänst (t.ex. Eulerian, Criteo, Adobe)
  • Cookies som sätts av denna subdomän får förstapartsstatus
  • Integritetsverktyg och samtyckesscannrar missar dem eftersom domänen ser ut som din
  • Franska CNIL har redan bötfällt organisationer för CNAME-cloaking utan samtycke

För att kontrollera manuellt: kör 'nslookup' eller 'dig' på dina subdomäner. Om en subdomän CNAME-pekar till en extern spårningsdomän har du CNAME-cloaking. Vakteye löser DNS CNAME-kedjor automatiskt för varje cookiesättande domän.

Fingerprinting: inga cookies, men ändå spårning

Browser fingerprinting identifierar användare utan cookies. Skript undersöker webbläsarens canvas-rendering, WebGL-kapacitet, AudioContext-utdata, installerade typsnitt och skärmupplösning. Tillsammans skapar dessa en unik identifierare som består mellan sessioner och överlever cookieradering.

ePrivacy-direktivet täcker detta uttryckligen. Artikel 5(3) gäller all åtkomst till information lagrad på en användares enhet, och fingerprinting läser enhetsegenskaper för att generera en identifierare. Samtycke krävs.

  • Canvas fingerprinting: Ritar osynliga former och läser pixeldatan. Renderingsskillnader identifierar enheten
  • WebGL fingerprinting: Frågar GPU-information och renderingsegenskaper
  • AudioContext fingerprinting: Genererar ljudsignaler och mäter bearbetningsskillnader
  • Typsnittsuppräkning: Testar vilka systemtypsnitt som är installerade genom att mäta textrendering

Dessa skript är ofta dolda i tredjepartstaghanterare eller analyspaket. Du kanske inte ens vet att de körs. Vakteye upptäcker fingerprinting-tekniker inklusive canvas, WebGL, AudioContext och DOM-baserad spårning.

Session replay-verktyg: spelar in allt

Session replay-verktyg som Hotjar, FullStory och Microsoft Clarity spelar in användarinteraktioner: klick, scrollning, musrörelser, formulärinmatning och sidinnehåll. Vissa fångar tangenttryckningar före inskickning. Allt detta utgör personuppgiftsbehandling enligt GDPR artikel 4(1).

Integritetsrisken går bortom spårning. Session replays kan oavsiktligt fånga känslig data som matas in i formulär: lösenord, kreditkortsnummer, medicinsk information. Även med maskering konfigurerad exponerar implementationsfel regelbundet data som borde vara dold.

  • Hotjar, FullStory, Clarity, LogRocket, Mouseflow: alla kräver samtycke enligt ePrivacy artikel 5(3)
  • Session replays utgör profilering enligt GDPR artikel 4(4) när de kopplas till identifierbara användare
  • Formulärdatafångst skapar risker enligt artikel 9 om hälsodata eller andra särskilda kategorier registreras
  • De flesta samtyckesbanners nämner inte session recording specifikt, vilket är ett transparensbrott enligt artikel 13

Vakteye upptäcker 17 session replay-leverantörsdomäner inklusive Hotjar, FullStory, Clarity, LogRocket, Mouseflow och Smartlook. Detekteringen använder både nätverksförfrågningsmatchning och skriptanalys.

localStorage- och sessionStorage-spårare

Cookies får all uppmärksamhet. Men localStorage och sessionStorage används allt oftare för spårning eftersom de är svårare att upptäcka och inte syns i webbläsarens cookiehanterare.

localStorage finns kvar tills det uttryckligen raderas. Det finns ingen utgångsmekanism som cookies har. Vissa spårare lagrar identifierare i localStorage och kopierar dem till cookies vid varje sidladdning, vilket återskapar spårningscookies även efter att användaren raderat dem. Det här är en form av zombiespårning.

GDPR och ePrivacy behandlar localStorage-identifierare på samma sätt som cookies. Om den lagrade datan kan identifiera en användare är det personuppgifter. Om den placeras på användarens enhet krävs samtycke enligt artikel 5(3). Lagringsmekanismen spelar ingen roll. Den rättsliga skyldigheten är densamma.

Meta Pixel och tagghanterarproblemet

Tagghanterare som Google Tag Manager skapar en särskild utmaning. Dina utvecklare lägger till GTM en gång. Sedan lägger marknadsavdelningen till taggar via GTM:s webbgränssnitt utan kodgranskning, deploy eller utvecklaröversikt. Varje tagg kan ladda ytterligare skript, sätta cookies och aktivera spårningspixlar.

Meta Pixel är ett vanligt exempel. Den laddas som ett enda skript men sätter flera cookies (_fbp, _fbc, fr), skickar surfdata till Metas servrar och möjliggör spårning mellan webbplatser via Facebooks annonsnätverk. Enligt GDPR artikel 26 är du gemensamt personuppgiftsansvarig med Meta för denna behandling.

  • GTM-taggar kan laddas utan utvecklarnas vetskap eller samtyckehantering
  • En enda pixel kan sätta flera cookies och initiera flera dataöverföringar
  • Gemensamt personuppgiftsansvar enligt artikel 26 gäller vid användning av Facebook/Meta Pixel
  • Taggar som lagts till efter din senaste samtyckesrevision täcks inte av dina samtyckesbannerkategorier

Hur många spårare gömmer sig på din webbplats?

Vakteyes skanner löser CNAME-kedjor, upptäcker fingerprinting-skript, identifierar session replay-verktyg och kartlägger varje cookie, inklusive de som din samtyckesbanner inte känner till.

Skanna din webbplats efter dolda spårare

Manuell detektering vs. automatiserad skanning

Du kan hitta vissa spårare manuellt. Öppna utvecklarverktygen, gå till Nätverksfliken, ladda om sidan och titta på domänerna som tar emot förfrågningar. Kontrollera Applikationsfliken för cookies och localStorage. Kör DNS-uppslag på dina subdomäner.

Men manuella kontroller missar saker. CNAME-cloaking kräver DNS-upplösning som webbläsare inte exponerar i utvecklarverktygen. Fingerprinting-skript kräver kodanalys för att identifiera. Vissa spårare aktiveras först efter specifika användaråtgärder eller efter en fördröjning. Cookiesynkronisering mellan domäner sker i bakgrunden.

  • Manuellt: Nätverksfliken visar utgående förfrågningar, men inte CNAME-upplösningar
  • Manuellt: Applikationsfliken visar cookies, men inte vilket skript som satte dem eller varför
  • Manuellt: DNS-uppslagsverktyg avslöjar CNAME-kedjor, men du behöver kontrollera varje subdomän
  • Automatiserat: Vakteye använder en spårardatabas med 400 000+ domäner (hagezi) för omedelbar klassificering
  • Automatiserat: Automatiserad samtyckestestning kontrollerar om spårare aktiveras före, under och efter samtycksval
  • Automatiserat: Konfidensnivåer (CERTAIN, FIRM, TENTATIVE) skiljer beteendebevis från mönstermatchning

Vad du gör när du hittar dolda spårare

Att hitta spårare är steg ett. Så här åtgärdar du complianceglappet.

  1. Kartlägg varje spårare till ett ändamål och en rättslig grund. Kan du inte motivera den, ta bort den
  2. Uppdatera dina samtyckesbannerkategorier till att inkludera session replay, fingerprinting och CNAME-dolda spårare
  3. Granska din tagghanterare: gå igenom varje aktiv tagg, ta bort övergivna, kräv godkännandeflöden
  4. Lägg till CNAME-dolda domäner i din samtyckeshanteringsplattforms skanner
  5. Uppdatera din integritetspolicy till att specifikt namnge session replay-verktyg och fingerprinting, enligt artikel 13
  6. Skanna om efter ändringar för att verifiera att spårare faktiskt stoppas när samtycke nekas

Den sista punkten är viktigast. Många organisationer uppdaterar sin samtyckesbanner men verifierar aldrig att nekande av samtycke faktiskt blockerar spårarna. Vakteye testar detta automatiskt med stöd för 2 800+ samtycksplattformar: vad som händer före samtycke, efter avslag och efter godkännande.

Se vad Vakteye hittar på din webbplats

Automatiserad spårardetektering med forensisk bevisning. CNAME-upplösning, fingerprinting-detektering, session replay-identifiering och samtyckesverifiering, allt i en skanning.

Se vad Vakteye hittar
Föregående

EDPB 2026: Varför transparenstillsyn drabbar svenska företag

Nästa

Din integritetspolicy vs. din webbplats: Så hittar du motsägelserna

Relaterade artiklar

GUIDE8 min läsning

Så gör du din cookie-banner IMY-kompatibel: en steg-för-steg-guide

De flesta svenska webbplatser underkänns vid IMY:s cookie-kontroller. Här är sex konkreta steg för att fixa din cookie-banner innan tillsynen hinner ikapp.

GUIDE6 min läsning

GDPR-checklista för svenska webbplatser

En praktisk 10-punkts GDPR-checklista för svenska webbplatser, baserad på verkliga IMY-beslut och vanliga brister vi hittar vid varje skanning.

GUIDE6 min läsning

Din integritetspolicy vs. din webbplats: Så hittar du motsägelserna

Din integritetspolicy gör löften. Din webbplats bryter dem. Så här hittar du varje motsägelse innan en tillsynsmyndighet gör det.