Alla artiklar
Nordhosting
Starta gratis
Företag

GDPR-checklista för din hemsida — 10 punkter som täcker det viktigaste

Cookies, formulär, analys, hosting utanför EU. Här är konkreta listan som tar din sajt från 'vi borde nog kolla det där' till ordning.

Astrid Sandström·15 mars 2026·8 min läsning

GDPR gäller varje sajt som behandlar personuppgifter om EU-personer — och dit räknas mer än de flesta tror: IP-adresser i loggar, mailadresser i formulär, beteendedata i analysverktyg. Goda nyheter: för en typisk företagssajt handlar efterlevnad om ett tiotal konkreta punkter, inte om juridikstudier. Här är listan vi själva använder.

1) Inventera vad du samlar in: formulär, kommentarer, konton, ordrar, nyhetsbrev, loggar. 2) Ha laglig grund för varje del — samtycke, avtal eller berättigat intresse — och skriv en integritetspolicy på begriplig svenska som säger vad, varför och hur länge. 3) Samtycke i förväg för icke-nödvändiga cookies: banner där 'avböj' är lika lätt som 'acceptera', inga förikryssade rutor — och sajten ska fungera även vid nej.

4) Granska analysverktygen. Integritetsskyddsmyndighetens Google Analytics-beslut gjorde rättsläget för amerikanska analystjänster skakigt; europeiska alternativ som Matomo eller Plausible — gärna självhostade i Sverige — tar bort hela frågan och oftast cookiebannern på köpet. 5) Teckna personuppgiftsbiträdesavtal (PUB-avtal) med varje leverantör som rör dina uppgifter: webbhotell, mailtjänst, CRM. Hos oss ingår det på alla planer.

6) Minimera tredjelandsöverföringar: varje tjänst utanför EU (amerikanska CDN:er, fonter från Google, inbäddningar) är en överföring du måste kunna motivera. Svensk hosting med svenska underbiträden krymper listan till nästan noll. 7) Säkra grunderna: HTTPS överallt, uppdaterad WordPress, stark lösenordspolicy, tvåfaktor till admin — artikel 32 kräver 'lämpliga tekniska åtgärder', och ett hackat medlemsregister är en personuppgiftsincident.

8) Ha rutin för registrerades rättigheter: kunna visa, rätta och radera en persons uppgifter inom en månad — testa själv att du faktiskt hittar allt om en given mailadress. 9) Incidentberedskap: en incident som riskerar enskildas rättigheter ska anmälas till IMY inom 72 timmar, så du behöver veta var loggarna finns och vem som larmar. 10) Gallra: bestäm lagringstider (ansökningar 6 månader, inaktiva konton 24, loggar 90 dagar) och radera på riktigt — även ur backuper när retentionstiden löper ut.

Hostingvalet löser inte GDPR åt dig, men rätt val tar bort de svåraste punkterna: svensk datahemvist, PUB-avtal som ingår, krypterade backuper med definierad retention och loggar som stannar i Sverige. Det är exakt därför advokatbyråer och vårdnära verksamheter väljer svenskt — färre överföringar att försvara, kortare checklista kvar.