Tillbaka till insikter
GUIDE

Din integritetspolicy vs. din webbplats: Så hittar du motsägelserna

Vakteye TeamMar 16, 20266 min läsning

Din integritetspolicy säger en sak. Din webbplats gör en annan. En kontroll av integritetspolicyns efterlevnad skulle fånga detta, men de flesta organisationer gör aldrig en sådan. Resultatet: motsägelser som tillsynsmyndigheter kan verifiera på minuter med automatiserade skanningsverktyg.

Det här är ingen teoretisk risk. EDPB:s samordnade tillsyn 2026 riktar in sig på transparens enligt artiklarna 12–14. Det innebär att varje dataskyddsmyndighet i EU, inklusive IMY, kommer att jämföra vad du påstår mot vad du faktiskt gör. Glappet mellan policy och praktik är det allra vanligaste compliancefelet.

Fem motsägelser som leder till böter

Det här är inga undantagsfall. De förekommer på majoriteten av webbplatser som Vakteye skannar.

1. "Inga tredjepartscookies" — men GA4 och Meta Pixel är aktiva

Integritetspolicyn anger att webbplatsen bara använder nödvändiga cookies. Samtidigt sätter Google Analytics 4 cookies som _ga och _ga_*, och Meta Pixel sätter _fbp, _fbc och fr. Dessa är per definition tredjepartsspårningscookies. De möjliggör identifiering mellan webbplatser och kontrolleras av Google respektive Meta.

Detta bryter mot GDPR artikel 5(1)(a), transparensprincipen, eftersom den angivna behandlingen inte stämmer med den faktiska behandlingen. Det bryter också mot artikel 13, som kräver korrekt redovisning av mottagare och ändamål.

2. "Behandling enbart inom EU" — men data skickas till USA

Policyn hävdar att all data behandlas inom EU. Men webbplatsen laddar skript från USA-hostade CDN:er, skickar analysdata till Googles amerikanska servrar och bäddar in Cloudflare-resurser som kan dirigeras genom amerikanska noder. Varje HTTP-förfrågan till en amerikansk server utgör en dataöverföring enligt GDPR artikel 44.

Efter Schrems II kräver överföringar till USA antingen certifiering enligt EU-US Data Privacy Framework eller kompletterande åtgärder enligt artikel 46. Att hävda behandling enbart inom EU samtidigt som data överförs till USA är en dubbel överträdelse: själva överföringen och den vilseledande policyn.

3. "Minimal datainsamling" — men 47 cookies vid sidladdning

Policyn beskriver ett dataminimeringsperspektiv. Webbplatsen sätter 47 cookies innan användaren klickar på något: analyticscookies, annonsidentifierare, session replay-tokens, A/B-testflaggor och sociala medier-widgetar. Dataminimering enligt artikel 5(1)(c) innebär att bara samla in det som är nödvändigt för det angivna ändamålet. Fyrtiosju cookies är svårt att förena med "minimalt."

4. "Ingen delning med tredje part" — men 12 tredjepartsskript laddas

Policyn anger att organisationen inte delar personuppgifter med tredje part. Webbplatsen laddar skript från Google, Meta, LinkedIn, Twitter, HubSpot, Hotjar och sex andra externa domäner, var och en tar emot användarens IP-adress, webbläsarfingeravtryck och surfbeteende som minimum. Att ladda ett tredjepartsskript ÄR att dela data med den tredje parten.

5. "Samtycksbaserad behandling" — men cookies aktiveras före bannern

Policyn anger samtycke som rättslig grund för analys och marknadsföring. Webbplatsen sätter spårningscookies vid sidladdning, innan samtyckesbannern ens visas. När användaren ser bannern har deras data redan skickats till tre analysleverantörer och två annonsnätverk.

Enligt ePrivacy artikel 5(3) måste samtycke inhämtas innan icke-nödvändiga cookies placeras. Att aktivera cookies före bannern gör hela samtyckesmekanismen meningslös, det som EDPB kallar "samtyckesteater."

Varje motsägelse ovan bryter mot GDPR artikel 5(1)(a), transparensprincipen. Enligt artikel 83(5)(a) hamnar transparensöverträdelser i den högre böteskategorin: upp till 20 miljoner EUR eller 4 % av global årsomsättning.

Varför motsägelser uppstår

Ingen skriver en medvetet vilseledande integritetspolicy. Motsägelser uppstår ur organisatoriska glapp.

  • Integritetspolicyn skrevs av jurister. Webbplatsen byggdes av utvecklare. De samordnar inte.
  • Marknadsavdelningen lägger till spårningspixlar via tagghanterare utan att meddela dataskyddsombudet.
  • Policyn stämde när den skrevs men webbplatsen har ändrats. Nya analysverktyg, nya widgetar, nya integrationer.
  • Tredjepartsskript laddar ytterligare skript dynamiskt. Den ursprungliga taggen laddar en spårare som laddar en till. Ingen granskar hela kedjan.
  • Samtyckesplattformar konfigureras en gång och testas aldrig om för att verifiera att de faktiskt blockerar det de påstår sig blockera.

De största transparensbristerna är inte avsiktligt vilseledande. Det är policyer som stämde när de skrevs men aldrig uppdaterades när webbplatsen förändrades.

Hur Vakteye upptäcker motsägelser

Vakteye är byggt för exakt det här problemet. Processen har fyra steg.

  1. Policyextraktion: AI läser din integritetspolicy och extraherar specifika påståenden: vilka spårare du säger att du använder, vart du säger att data skickas, vilka cookies du säger att du sätter, vilka tredje parter du redovisar
  2. Webbplatsskanning: Automatiserade kontroller analyserar din webbplats faktiska beteende: cookies som sätts, skript som laddas, dataöverföringar som initieras, DNS-poster, samtyckesbannerbeteende, fingerprinting, session replay
  3. Jämförelse: Varje extraherat påstående jämförs mot observerat beteende. "Inga tredjepartscookies" kontrolleras mot det faktiska cookieinventariet. "Behandling enbart inom EU" kontrolleras mot observerade dataöverföringsmål.
  4. Bevissamling: Varje motsägelse levereras med forensisk bevisning: HAR-filer som visar nätverksförfrågningarna, webbläsarsessionsinspelningar som visar webbläsarsessionen, cookiediffar som visar vad som sattes och när

Varje fynd kopplas till relevanta GDPR-artiklar. Cookiemotsägelser refererar till artikel 5(1)(a) och ePrivacy artikel 5(3). Överföringsmotsägelser refererar till artiklarna 44–49. Informationsbrister refererar till artikel 13.

Kör en motsägelseskanning på din webbplats

Vakteye läser din integritetspolicy, skannar din webbplats och flaggar varje avvikelse. Automatiserat, evidensbaserat, kopplat till GDPR-artiklar.

Kör en motsägelseskanning

EDPB:s transparenstillsyn 2026 gör detta brådskande

EDPB:s samordnade tillsynsramverk 2026 innebär att alla 30 EES-dataskyddsmyndigheter granskar transparens samtidigt. IMY deltar med sin egen metodik plus det delade EDPB-tillvägagångssättet.

Vad granskarna kontrollerar är rakt på sak: de läser din integritetspolicy, skannar din webbplats och verifierar om de stämmer överens. Automatiserade verktyg gör detta snabbt. Manuell utredning följer vid avvikelser.

Organisationer som har motsägelser mellan sina angivna rutiner och faktiska beteende riskerar tillsyn enligt artikel 83(5)(a), den högre böteskategorin: upp till 20 miljoner EUR eller 4 % av global omsättning. Motsägelsen i sig är överträdelsen. Du behöver inte orsaka skada. Den vilseledande informationen räcker.

Steg-för-steg självgranskning

  1. Läs din integritetspolicy och lista varje faktapåstående: vilka cookies, vilka tredje parter, vilka länder, vilka rättsliga grunder, vilka lagringstider
  2. Öppna din webbplats i ett inkognitofönster. Innan du interagerar med samtyckesbannern, kontrollera Nätverksfliken och Applikationsfliken i utvecklarverktygen. Är cookies redan satta? Skickas förfrågningar till tredje part?
  3. Godkänn cookies och jämför: vilka nya cookies dyker upp? Stämmer de med vad din policy redovisar?
  4. Neka cookies och jämför: finns spårningscookies kvar? Laddas tredjepartsskript fortfarande?
  5. Kontrollera dina DNS-poster efter CNAME-poster som pekar till externa spårningstjänster
  6. Verifiera att varje tredjepartsskript i din källkod har en motsvarande redovisning i din integritetspolicy

Denna manuella process tar timmar och missar dynamiskt beteende. Automatiserad skanning fångar det som manuella granskningar inte kan: fördröjd skriptladdning, cookiesynkronisering, CNAME-dolda domäner och beteende som kringgår samtyckesbannern.

Fixa processen, inte bara policyn

Att uppdatera din integritetspolicy fixar dagens motsägelser. Att fixa processen förhindrar morgondagens.

  • Kräv dataskyddsombudets godkännande innan något nytt spårningsskript eller tredjepartsintegration läggs till
  • Schemalägg automatiserade skanningar efter varje webbplatsdeploy
  • Granska tagghanterarkonfigurationer månadsvis. De ändras utan deploy
  • Versionshantera din integritetspolicy tillsammans med din webbplatskod
  • Dokumentera varje tredjepartstjänst, dess ändamål, rättslig grund och dataöverföringsdetaljer i ett behandlingsregister

Kontinuerlig övervakning fångar avdrift. En integritetspolicy som stämde på måndag kan vara felaktig på fredag om någon lägger till en ny marknadsföringstagg.

Se din policy vs. verklighetsrapport

Vakteye extraherar påståendena i din integritetspolicy, skannar din webbplats faktiska beteende och visar varje motsägelse med forensisk bevisning. Sluta gissa. Börja verifiera.

Se din policy vs. verklighetsrapport
Föregående

Så hittar du dolda spårare på din webbplats innan IMY gör det

Nästa

Säkerhetsheaders: 5 headers varje svensk webbplats behöver

Relaterade artiklar

GUIDE8 min läsning

Så gör du din cookie-banner IMY-kompatibel: en steg-för-steg-guide

De flesta svenska webbplatser underkänns vid IMY:s cookie-kontroller. Här är sex konkreta steg för att fixa din cookie-banner innan tillsynen hinner ikapp.

GUIDE6 min läsning

GDPR-checklista för svenska webbplatser

En praktisk 10-punkts GDPR-checklista för svenska webbplatser, baserad på verkliga IMY-beslut och vanliga brister vi hittar vid varje skanning.

GUIDE7 min läsning

Så hittar du dolda spårare på din webbplats innan IMY gör det

CNAME-cloaking, fingerprinting-skript, session replay-verktyg: din webbplats har troligen spårare du inte känner till. Så här hittar du dem.