Policy mot verklighet: hur en GDPR-tillsyn faktiskt går till

De flesta efterlevnadsleverantörer säljer policygranskning. Skrivna intyg, signerade rutor, attesterade kontroller, en årlig genomgång mot en checklista. Inget av det är vad Integritetsskyddsmyndigheten (IMY) faktiskt undersöker när en tillsyn inleds mot en svensk personuppgiftsansvarig. Gapet mellan vad efterlevnadsleverantörer verifierar och vad tillsynsmyndigheten inspekterar är hela anledningen till att sanktioner fortsätter att träffa bolag som redan klarat en granskning.

Den här artikeln förklarar gapet. Sedan förklarar den hur en beteendegranskning täpper till det.

Granskningen som ingen kör

Varje bolag i IMY:s Meta Pixel-kluster hade en integritetspolicy. De hade samtyckesbanner. De hade granskats — internt, externt eller båda. De sanktionerades ändå med totalt 85 000 000 SEK i fem slutgiltiga IMY-beslut (Apoteket DI-2023-13015, Apohem DI-2023-13016, Avanza DI-2022-2177, Bonnier News / Dagens Industri DI-2022-2178, Tele2 DI-2022-2175).

Varför fångade granskningarna inte det tillsynsmyndigheten fångade? För att granskningarna aldrig testade den live-publicerade webbplatsen. De gick igenom dokument — policyer, leverantörsavtal, bannerkonfigurationer, skärmdumpspaket — och godkände när dokumentationen såg fullständig ut. Pixeln körde ändå. Avslagsknappen fungerade ändå inte. Webbläsaren pratade ändå med facebook.com/tr före samtycke. Inget av det fanns i dokumentgranskningen.

Samma gap finns i nästan varje efterlevnadsprodukt på marknaden. Leverantörerna beskriver vad som ska hända. Webbläsaren gör vad den faktiskt gör. När de två avviker bryr sig tillsynsmyndigheten bara om det andra.

Vad IMY faktiskt gör i en tillsyn

Läs vilket som helst av de fem Meta Pixel-besluten och bevismönstret är identiskt: myndigheten laddade den live-publicerade webbplatsen i en webbläsare, observerade utgående nätverkstrafik och matchade anropen mot den personuppgiftsansvariges hävdade samtyckestillstånd. När anrop till facebook.com/tr skickades före någon samtyckesåtgärd — eller efter att användaren klickat avslag — bevisades överträdelsen genom reproducerbara nätverksloggar.

Detta är observation, inte dokumentgranskning. Tillsynsmyndigheten läser inte din DPO:s årsrapport. Tillsynsmyndigheten granskar inte din CMP-leverantörs säkerhetsenkät. Tillsynsmyndigheten öppnar DevTools. Webbläsaren talar sanning, och sanningen är vad som citeras i beslutet.

Tekniken sträcker sig bortom Meta Pixel. Trygg-Hansa-incidenten (DI-2023-2260, beslut 2024-03-11, 35 000 000 SEK) påvisades genom direkt URL-manipulation — IMY upptäckte att cirka 650 000 kunders känsliga data låg bakom en IDOR-sårbarhet som vilken inloggad besökare som helst kunde utlösa genom att redigera URL:en. Ingen intern åtkomst krävdes. Region Stockholm 1177-beslutet (2021-06-07, 500 000 SEK) gällde cirka 2,7 miljoner inspelade patientsamtal som låg på en osäkrad internet-tillgänglig lagringsserver — upptäckt genom att följa externa pekare till offentlig infrastruktur. Spotify-beslutet om rätten till tillgång (DI-2021-2318, 2023-06-13, 58 000 000 SEK) byggdes på att faktiskt skicka in artikel 15-begäranden och observera vad som kom tillbaka.

I varje fall samlade tillsynsmyndigheten in bevis på samma sätt som en extern angripare skulle gjort. Ingen privilegierad åtkomst. Ingen insiderkunskap. Bara den offentliga ytan, observerad metodiskt.

Tre saker som policyn inte kan förutsäga

Det finns tre kategorier av efterlevnadsbrister som ingen dokumentgranskning fångar, eftersom bristen lever i körningsbeteende som dokumentet inte beskriver.

Om din avslagsknapp faktiskt avslår

Fyra av de fem Meta Pixel-fallen (Apoteket, Apohem, Bonnier/DI, Tele2) var samtyckesbrister enligt artikel 6.1(a). Cookiebannern fanns. Avslagsknappen syntes. Men avslagssignalen fördes inte fram till Pixeln — antingen för att CMP:n inte blockerade tredjepartsskript före samtycke, eller för att avslagshanteraren inte faktiskt nollställde den samtyckesflagga Pixeln läste, eller för att Pixeln laddades utanför CMP:ns tag manager-omfång.

En policygranskning kan inte upptäcka detta. En bannerskärmdump kan inte upptäcka detta. Det enda som upptäcker det är att öppna live-webbplatsen, klicka avslag och observera vad som händer med utgående nätverkstrafik efteråt. Antingen stannar anropet till facebook.com/tr, eller så gör det inte det. Dokumentgranskning har ingen åsikt om svaret.

Vad din spårare är konfigurerad att skicka

Avanza är skolexemplet. Tillsynsspåret skilde sig från resten av klustret: art. 32 + art. 33, cirka 500 000 kunder, finansdata, sanktion 15 M SEK. Bannern var inte problemet. Pixeln var felkonfigurerad och överförde finansiella surfdata — belopp, produktsökningar — som aldrig skulle ha lämnat den personuppgiftsansvarige. Läckan pågick från november 2020 till juni 2021 innan den upptäcktes, och bolaget anmälde inte personuppgiftsincidenten vid den tidpunkten, vilket förvärrade sanktionen enligt art. 33.

Ingen policygranskning fångar detta. Pixeln var, på pappret, samma Pixel som varje annan webbplats använder. Det var de anpassade datafälten den överförde som var problemet — och de syns bara genom att inspektera den faktiska payloaden i ett faktiskt utgående anrop, avkodad, med den personuppgiftsansvariges dataklassificeringsschema till hands. Det är ett beteendetest, inte ett papperstest.

Vad som körs efter sidladdning som din CMP inte katalogiserade

Moderna webbplatser laddar skript som CMP:n aldrig inventerade. Vanliga källor: server-side tagging som proxar genom en förstapart-subdomän (så CMP:n bara ser den personuppgiftsansvariges egen domän och släpper igenom); CNAME-cloakade spårningsendpoints som löser sig till tredjepartsinfrastruktur men ser ut som förstaparts-DNS-poster; sent anlända skript injicerade av A/B-testverktyg eller marknadsföringsautomation som hoppar över CMP-kön; tredjepartsinbäddningar (chattwidgetar, videospelare, sociala embed) som rekursivt laddar sina egna beroenden.

Var och en av dessa är ett verkligt fyndmönster i IMY:s tillsynspraxis. CMP:n blockerar dem inte eftersom CMP:n inte ser dem. Efterlevnadsgranskningen flaggar dem inte eftersom granskningen inte räknar upp dem. Endast nätverksnivåobservation av live-webbplatsen fångar vad som faktiskt körs.

Det skarpa exemplet är när en marknadsavdelning lägger till ett A/B-testverktyg som i sin tur laddar en spårningspixel. Pixeln finns aldrig i CMP:ns leverantörslista. DPO:n vet inte att den finns. Integritetspolicyn nämner inte den. Men besökarens webbläsare laddar den ändå, och nätverksanropet syns i HAR-filen. Tillsynsmyndigheten ser exakt detta anrop när de granskar webbplatsen — och frågar varför det inte finns i artikel 30-förteckningen.

Varför beteendebevis är asymmetriskt

När tillsynsmyndigheten och leverantören har tillgång till samma bevis — den live-publicerade, offentliga webbplatsen — har leverantören som säljer policyintyg noll fördel. Tillsynsmyndigheten kan reproducera vilket påstående som helst genom att själv ladda webbplatsen. Om leverantörens bevis är en signerad PDF och tillsynsmyndighetens bevis är en HAR-fil som visar överträdelsen, vinner HAR-filen.

Det är vad som gör beteendetestning strukturellt annorlunda från policygranskning. Beteendebevis:

• Är reproducerbara. Vem som helst med en webbläsare kan köra samma test och få samma resultat.
• Är falsifierbara. Om testet passerar idag och misslyckas imorgon är det en verklig regression, inte en dokumentationsdrift.
• Tål motpartsinspektion. Tillsynsmyndigheten kan inte avfärda en nätverkslogg som 'din tolkning' — bytena är bytena.
• Spårar körningsdrift. Marknadsförings-tag-deploys, CDN-konfigurationsändringar, tredjepartsskriptuppdateringar och CMP-regressioner dyker upp som observerbara beteendeändringar.

Webbläsaren talar sanning. Integritetspolicyn beskriver intention. När de två är oense är bara den ena tillåten som bevis i ett IMY-beslut.

Asymmetrin går också åt andra hållet. En personuppgiftsansvarig som producerar beteendebevis — signerade skanrapporter, HAR-filer, cookie-diffar före/efter — har bevis som tillsynsmyndigheten inte enkelt kan ifrågasätta. Dokumentation kan bestridas som otillräcklig, otydlig eller självgynnande. Reproducerbara körningsbevis är bara data.

Det innebär också att beteendebevis tål jurisdiktionsöverskridande granskning. När EDPB-arbetsgruppen för cookiebanners samordnar tillsyn över flera medlemsstater använder varje DPA samma metod: ladda webbplatsen, observera nätverkstrafiken, dokumentera vad som händer. En HAR-fil från Vakteye motsvarar en HAR-fil från IMY motsvarar en HAR-fil från CNIL. Bevisformatet är universellt eftersom regleringen är universell.

Vad Vakteye-mekanismen gör annorlunda

Vakteye är en granskning, inte en policygenerator. Mekanismen är konkret: scannern öppnar en riktig Chromium-webbläsare riktad mot kundens live-webbplats. Den laddar sidan. Den registrerar varje utgående nätverksanrop till en HAR 1.2-fil (forensisk kvalitet, uppspelningsbar). Den upptäcker samtyckesbannern och klickar avslag. Den väntar. Den registrerar nätverkstillståndet igen. Den diffar cookies före avslag, efter avslag och efter en tvingad omladdning för att testa zombie-cookies som återuppstår efter återkallelse.

Varje fynd mappas till (a) den GDPR- eller ePrivacy-artikel som åberopas av överträdelsemönstret och (b) matchande svensk tillsynspraxis — det faktiska IMY-beslut som etablerar vad tillsynsmyndigheten anser överträdelsen vara värd. När scannern hittar en Pixel som körs före samtycke citerar rapporten art. 6.1(a), LEK 9 kap. 28 §, ePrivacy art. 5.3 och besluten Apoteket/Apohem/Bonnier/Tele2 som prejudikat. När scannern hittar en exponerad adminendpoint eller ett IDOR-mönster citerar rapporten art. 32 och Trygg-Hansa.

Resultatet är signerat. HAR-filen paketeras med en SHA-256-manifest. Beslutsproveniensen är verifierbar. Om en tillsynsmyndighet öppnar en granskning senare överlämnar kunden samma bevis som tillsynsmyndigheten själv hade genererat — redan organiserat, redan mappat till artiklar, redan daterat.

Mekanismen täcker också mer än bara samtycke. Scannern testar för exponerade administrationsendpoints (Trygg-Hansa-mönstret), läckta API-nycklar i klientsidans JavaScript (Avanza-typ av säkerhetsbrist), inkorrekt konfigurerade säkerhetsheaders, sårbara tredjepartsbibliotek, och bristande implementering av ePrivacy art. 5.3 vid lagring i webStorage utöver cookies. Varje fynd ankrar mot en åberopbar artikel och en svensk tillsynspraxis.

Tre granskningslägen som policy-världen inte erbjuder

När granskningen är beteendebaserad blir tre operativa lägen möjliga som policyintyg helt enkelt inte kan leverera.

Förgranskning: kör tillsynsmyndighetens metod på dig själv innan de gör det

Om tillsynsmyndighetens bevis kommer att vara en HAR-fil som visar din Pixel köra före samtycke vill du ha den HAR-filen i dina händer först. Förgranskningsläget kör samma test som tillsynsmyndigheten kör, på ditt schema, och visar varje brist tillsynsmyndigheten skulle hitta — innan den formella tillsynen inleds. Kostnaden är en skanning. Alternativet är en sanktion dimensionerad efter din årsomsättning.

Eftergranskning: fånga samtyckesregressionen som förra veckans marknadsförings-tag-deploy införde

Efterlevnaden förblir inte efterlevd. Marknadsföringsteam deployar nya taggar. Leverantörer pushar tysta uppdateringar till inbäddade widgetar. CDN-konfigurationer ändras. Tredjepartsskript lägger till beroenden. Var och en av dessa kan införa en samtyckesregression som inte fanns vid den senaste årliga granskningen. Beteendetestning fångar regressionen samma dag den shippas, inte 11 månader senare när tillsynsmyndigheten märker.

Korsreferens: när din DPO säger 'vi använder inte Meta Pixel någonstans' säger scannern 'vi hittade den på checkout-sidan'

Intern dokumentation glider från verkligheten. Leverantörer läggs till, avvecklas och läggs till igen under andra namn. En skanning som räknar upp varje tredjepartsdomän som gör utgående anrop på varje viktig sida producerar ett definitivt svar på 'vad körs faktiskt' — och visar gapet när svaret skiljer sig från vad datainventeringen påstår. Det gapet är i sig ett fynd som tillsynsmyndigheten kommer att bry sig om: en felaktig artikel 30-förteckning över behandlingar.

Detsamma gäller leverantörsavtal. Personuppgiftsbiträdesavtalen i din leverantörsregistreringsmapp listar de underbiträden varje leverantör hade när avtalet skrevs. Tre år senare har leverantören bytt CDN, lagt till en analytics-partner och bytt e-postleverantör. Inget av det syns i din mapp. Men det syns i nätverkstrafiken från deras inbäddade skript på din webbplats. Behavioral cross-reference avslöjar drift mellan kontrakt och verklighet på timmar, inte år.

Bottom line

Gapet mellan policy och verklighet är strukturellt. Policyintyg beskriver intention. Beteende avslöjar verklighet. IMY bryr sig bara om verkligheten, eftersom verkligheten är vad allmänheten ser, och allmänheten är den regleringen skyddar.

Varje sanktionerat bolag i Meta Pixel-klustret hade dokumentation. Trygg-Hansa-incidenten hände ett bolag som var försäkringsreglerat och förmodligen granskat. Region Stockholm hade ISO-ramverk. Inget av det pappersarbetet stoppade sanktionen, eftersom inget av det matchade vad live-systemet faktiskt gjorde.

Bolagen som inte kommer att sanktioneras nästa är de som granskar sitt beteende på samma sätt som tillsynsmyndigheten granskar beteende. Det är inte ett marknadsföringspåstående — det är bara vad IMY:s tillsynspraxis avslöjar när den läses från slut till slut. Fem Meta Pixel-beslut, ett Trygg-Hansa, ett 1177, ett Spotify. Åtta slutgiltiga beslut. Samma bevismönster i varje.

Om ditt efterlevnadsprogram bara producerar dokument verifierar det fel sak. Byt granskningen till samma metod som tillsynsmyndigheten använder, och asymmetrin vänds: nu har du beviset först.