GDPR gäller varje sajt som behandlar personuppgifter om EU-personer — och dit räknas mer än de flesta tror: IP-adresser i loggar, mailadresser i formulär, beteendedata i analysverktyg. Goda nyheter: för en typisk företagssajt handlar efterlevnad om ett tiotal konkreta punkter, inte om juridikstudier. Här är listan vi själva använder.
1) Inventera vad du samlar in: formulär, kommentarer, konton, ordrar, nyhetsbrev, loggar. 2) Ha laglig grund för varje del — samtycke, avtal eller berättigat intresse — och skriv en integritetspolicy på begriplig svenska som säger vad, varför och hur länge. 3) Samtycke i förväg för icke-nödvändiga cookies: banner där 'avböj' är lika lätt som 'acceptera', inga förikryssade rutor — och sajten ska fungera även vid nej.
4) Granska analysverktygen. Integritetsskyddsmyndighetens Google Analytics-beslut gjorde rättsläget för amerikanska analystjänster skakigt; europeiska alternativ som Matomo eller Plausible — gärna självhostade i Sverige — tar bort hela frågan och oftast cookiebannern på köpet. 5) Teckna personuppgiftsbiträdesavtal (PUB-avtal) med varje leverantör som rör dina uppgifter: webbhotell, mailtjänst, CRM. Hos oss ingår det på alla planer.
6) Minimera tredjelandsöverföringar: varje tjänst utanför EU (amerikanska CDN:er, fonter från Google, inbäddningar) är en överföring du måste kunna motivera. Svensk hosting med svenska underbiträden krymper listan till nästan noll. 7) Säkra grunderna: HTTPS överallt, uppdaterad WordPress, stark lösenordspolicy, tvåfaktor till admin — artikel 32 kräver 'lämpliga tekniska åtgärder', och ett hackat medlemsregister är en personuppgiftsincident.
8) Ha rutin för registrerades rättigheter: kunna visa, rätta och radera en persons uppgifter inom en månad — testa själv att du faktiskt hittar allt om en given mailadress. 9) Incidentberedskap: en incident som riskerar enskildas rättigheter ska anmälas till IMY inom 72 timmar, så du behöver veta var loggarna finns och vem som larmar. 10) Gallra: bestäm lagringstider (ansökningar 6 månader, inaktiva konton 24, loggar 90 dagar) och radera på riktigt — även ur backuper när retentionstiden löper ut.
Hostingvalet löser inte GDPR åt dig, men rätt val tar bort de svåraste punkterna: svensk datahemvist, PUB-avtal som ingår, krypterade backuper med definierad retention och loggar som stannar i Sverige. Det är exakt därför advokatbyråer och vårdnära verksamheter väljer svenskt — färre överföringar att försvara, kortare checklista kvar.