Din integritetspolicy säger en sak. Din webbplats gör en annan. En kontroll av integritetspolicyns efterlevnad skulle fånga detta, men de flesta organisationer gör aldrig en sådan. Resultatet: motsägelser som tillsynsmyndigheter kan verifiera på minuter med automatiserade skanningsverktyg.
Det här är ingen teoretisk risk. Inom ramen för EDPB:s samordnade tillsyn 2026 kring transparens (artiklarna 12–14) gör tillsynsmyndigheterna samma jämförelse du kan göra själv: läs policyn, skanna webbplatsen, lista det som inte stämmer. Fem specifika motsägelsemönster står för de flesta träffarna.
Fem motsägelser som leder till böter
Det här är inga undantagsfall. De förekommer på majoriteten av webbplatser som Vakteye skannar.
1. "Inga tredjepartscookies" — men GA4 och Meta Pixel är aktiva
Integritetspolicyn anger att webbplatsen bara använder nödvändiga cookies. Samtidigt sätter Google Analytics 4 cookies som _ga och _ga_*, och Meta Pixel sätter _fbp, _fbc och fr. Dessa är per definition tredjepartsspårningscookies. De möjliggör identifiering mellan webbplatser och kontrolleras av Google respektive Meta.
Detta bryter mot GDPR artikel 5(1)(a), transparensprincipen, eftersom den angivna behandlingen inte stämmer med den faktiska behandlingen. Det bryter också mot artikel 13, som kräver korrekt redovisning av mottagare och ändamål.
2. "Behandling enbart inom EU" — men data skickas till USA
Policyn hävdar att all data behandlas inom EU. Men webbplatsen laddar skript från USA-hostade CDN:er, skickar analysdata till Googles amerikanska servrar och bäddar in Cloudflare-resurser som kan dirigeras genom amerikanska noder. Varje HTTP-förfrågan till en amerikansk server utgör en dataöverföring enligt GDPR artikel 44.
Efter Schrems II kräver överföringar till USA antingen certifiering enligt EU-US Data Privacy Framework eller kompletterande åtgärder enligt artikel 46. Att hävda behandling enbart inom EU samtidigt som data överförs till USA är en dubbel överträdelse: själva överföringen och den vilseledande policyn.
3. "Minimal datainsamling" — men 47 cookies vid sidladdning
Policyn beskriver ett dataminimeringsperspektiv. Webbplatsen sätter 47 cookies innan användaren klickar på något: analyticscookies, annonsidentifierare, session replay-tokens, A/B-testflaggor och sociala medier-widgetar. Dataminimering enligt artikel 5(1)(c) innebär att bara samla in det som är nödvändigt för det angivna ändamålet. Fyrtiosju cookies är svårt att förena med "minimalt."
4. "Ingen delning med tredje part" — men 12 tredjepartsskript laddas
Policyn anger att organisationen inte delar personuppgifter med tredje part. Webbplatsen laddar skript från Google, Meta, LinkedIn, Twitter, HubSpot, Hotjar och sex andra externa domäner, var och en tar emot användarens IP-adress, webbläsarfingeravtryck och surfbeteende som minimum. Att ladda ett tredjepartsskript ÄR att dela data med den tredje parten.
5. "Samtycksbaserad behandling" — men cookies aktiveras före bannern
Policyn anger samtycke som rättslig grund för analys och marknadsföring. Webbplatsen sätter spårningscookies vid sidladdning, innan samtyckesbannern ens visas. När användaren ser bannern har deras data redan skickats till tre analysleverantörer och två annonsnätverk.
Enligt ePrivacy artikel 5(3) måste samtycke inhämtas innan icke-nödvändiga cookies placeras. Att aktivera cookies före bannern gör hela samtyckesmekanismen meningslös, det som EDPB kallar "samtyckesteater."
Varje motsägelse ovan bryter mot GDPR artikel 5(1)(a), transparensprincipen. Enligt artikel 83(5)(a) hamnar transparensöverträdelser i den högre böteskategorin — ett lagstadgat tak på 20 miljoner EUR eller 4 % av global årsomsättning. Faktiska sanktionsavgifter sätts av proportionalitetsfaktorerna i artikel 83(2), inte av taket.
Varför motsägelser uppstår
Ingen skriver en medvetet vilseledande integritetspolicy. Motsägelser uppstår ur organisatoriska glapp.
- Integritetspolicyn skrevs av jurister. Webbplatsen byggdes av utvecklare. De samordnar inte.
- Marknadsavdelningen lägger till spårningspixlar via tagghanterare utan att meddela dataskyddsombudet.
- Policyn stämde när den skrevs men webbplatsen har ändrats. Nya analysverktyg, nya widgetar, nya integrationer.
- Tredjepartsskript laddar ytterligare skript dynamiskt. Den ursprungliga taggen laddar en spårare som laddar en till. Ingen granskar hela kedjan.
- Samtyckesplattformar konfigureras en gång och testas aldrig om för att verifiera att de faktiskt blockerar det de påstår sig blockera.
En integritetspolicy är en ögonblicksbild. En webbplats är ett rörligt mål. Varje marknadsföringstagg som läggs till efter lansering är en motsägelse som väntar på att upptäckas.
Hur Vakteye upptäcker motsägelser
Vakteye är byggt för exakt det här problemet. Processen har fyra steg.
- Policyextraktion: automatiserad analys läser din integritetspolicy och extraherar specifika påståenden: vilka spårare du säger att du använder, vart du säger att data skickas, vilka cookies du säger att du sätter, vilka tredje parter du redovisar
- Webbplatsskanning: Automatiserade kontroller analyserar din webbplats faktiska beteende: cookies som sätts, skript som laddas, dataöverföringar som initieras, DNS-poster, samtyckesbannerbeteende, fingerprinting, session replay
- Jämförelse: Varje extraherat påstående jämförs mot observerat beteende. "Inga tredjepartscookies" kontrolleras mot det faktiska cookieinventariet. "Behandling enbart inom EU" kontrolleras mot observerade dataöverföringsmål.
- Bevissamling: Varje motsägelse levereras med forensisk bevisning: HAR-filer som visar nätverksförfrågningarna, webbläsarsessionsinspelningar som visar webbläsarsessionen, cookiediffar som visar vad som sattes och när
Varje fynd kopplas till relevanta GDPR-artiklar. Cookiemotsägelser refererar till artikel 5(1)(a) och ePrivacy artikel 5(3). Överföringsmotsägelser refererar till artiklarna 44–49. Informationsbrister refererar till artikel 13.
Kör en motsägelseskanning på din webbplats
Vakteye läser din integritetspolicy, skannar din webbplats och flaggar varje avvikelse. Automatiserat, evidensbaserat, kopplat till GDPR-artiklar.
Kör en motsägelseskanningEDPB:s transparenstillsyn 2026 gör detta brådskande
EDPB:s samordnade tillsynsramverk 2026 innebär att alla 30 EES-dataskyddsmyndigheter granskar transparens samtidigt. IMY deltar med sin egen metodik plus det delade EDPB-tillvägagångssättet.
Vad granskarna kontrollerar är rakt på sak: de läser din integritetspolicy, skannar din webbplats och verifierar om de stämmer överens. Automatiserade verktyg gör detta snabbt. Manuell utredning följer vid avvikelser.
Organisationer som har motsägelser mellan sina angivna rutiner och faktiska beteende riskerar tillsyn enligt artikel 83(5)(a), den högre böteskategorin — ett lagstadgat tak på 20 miljoner EUR eller 4 % av global omsättning, där faktiska belopp sätts av proportionaliteten i artikel 83(2). Motsägelsen i sig är överträdelsen. Du behöver inte orsaka skada. Den vilseledande informationen räcker.
Steg-för-steg självgranskning
- Läs din integritetspolicy och lista varje faktapåstående: vilka cookies, vilka tredje parter, vilka länder, vilka rättsliga grunder, vilka lagringstider
- Öppna din webbplats i ett inkognitofönster. Innan du interagerar med samtyckesbannern, kontrollera Nätverksfliken och Applikationsfliken i utvecklarverktygen. Är cookies redan satta? Skickas förfrågningar till tredje part?
- Godkänn cookies och jämför: vilka nya cookies dyker upp? Stämmer de med vad din policy redovisar?
- Neka cookies och jämför: finns spårningscookies kvar? Laddas tredjepartsskript fortfarande?
- Kontrollera dina DNS-poster efter CNAME-poster som pekar till externa spårningstjänster
- Verifiera att varje tredjepartsskript i din källkod har en motsvarande redovisning i din integritetspolicy
Denna manuella process tar timmar och missar dynamiskt beteende. Automatiserad skanning fångar det som manuella granskningar inte kan: fördröjd skriptladdning, cookiesynkronisering, CNAME-dolda domäner och beteende som kringgår samtyckesbannern.
Fixa processen, inte bara policyn
Att uppdatera din integritetspolicy fixar dagens motsägelser. Att fixa processen förhindrar morgondagens.
- Kräv dataskyddsombudets godkännande innan något nytt spårningsskript eller tredjepartsintegration läggs till
- Schemalägg automatiserade skanningar efter varje webbplatsdeploy
- Granska tagghanterarkonfigurationer månadsvis. De ändras utan deploy
- Versionshantera din integritetspolicy tillsammans med din webbplatskod
- Dokumentera varje tredjepartstjänst, dess ändamål, rättslig grund och dataöverföringsdetaljer i ett behandlingsregister
Kontinuerlig övervakning fångar avdrift. En integritetspolicy som stämde på måndag kan vara felaktig på fredag om någon lägger till en ny marknadsföringstagg.
Se din policy vs. verklighetsrapport
Vakteye extraherar påståendena i din integritetspolicy, skannar din webbplats faktiska beteende och visar varje motsägelse med forensisk bevisning. Sluta gissa. Börja verifiera.
Se din policy vs. verklighetsrapport