GDPR-samsvarsjekkliste 2026: 15 steg hvert nettsted må fullføre
GDPR-samsvar er ikke et engangsprosjekt — det er en løpende praksis. Reguleringer utvikler seg, nettstedet ditt endres, og nye verktøy legges til. Denne sjekklisten gir deg 15 konkrete steg for å verifisere og opprettholde GDPR-samsvar i 2026, enten du starter fra bunnen av eller reviderer et eksisterende oppsett.
Den 15-stegs sjekklisten
1. Installer en sertifisert CMP
Din samtykkehåndteringsplattform må være Google-sertifisert og IAB Europe-registrert. Dette sikrer samsvar med både Consent Mode V2 og TCF 2.3.
2. Revider alle informasjonskapsler og sporere
Skann nettstedet ditt for alle informasjonskapsler, piksler, SDK-er og elementer i lokal lagring. Klassifiser hver enkelt som strengt nødvendig, analyse eller reklame. Fjern alt du ikke kan begrunne.
3. Konfigurer samtykkebanneret
Sørg for like Aksepter/Avvis-knapper, tydelig språk på besøkendes morsmål, og ingen forhåndsavmerkede bokser. Banneret må vises før ikke-nødvendig sporing aktiveres.
4. Sett standard samtykke til nektet
For besøkende i EØS må alle ikke-nødvendige samtykkekategorier som standard være nektet. Bare strengt nødvendige informasjonskapsler kan aktiveres uten samtykke.
5. Publiser en personvernpolicy
Personvernpolicyen din må forklare hvilke data du samler inn, hvorfor, det rettslige grunnlaget, hvem som mottar dem, oppbevaringsperioder, og hvordan brukerne kan utøve sine rettigheter.
6. Publiser en informasjonskapselpolicy
List opp alle informasjonskapsler, deres formål, varighet, og om de er første- eller tredjepartsbaserte. Lenk til denne fra samtykkebanneret.
7. Aktiver Google Consent Mode V2
Konfigurer Advanced-modus slik at Google-tagger aktiveres i begrenset modus før samtykke, og deretter bytter til fullstendig sporing etter samtykke.
8. Aktiver IAB TCF 2.3
Hvis du kjører programmatisk annonsering, må CMP-en din generere gyldige TC-strenger. Verifiser med IABs TCF-valideringsverktøy.
9. Signer databehandleravtaler
Enhver tredjepart som mottar personopplysninger fra nettstedet ditt trenger en DPA. Google, Meta, analyseleverandører, e-postplattformer — alle sammen.
10. Oppretthold et register over behandlingsaktiviteter
Dokumenter alle databehandlingsoperasjoner: hvilke data, hvilket formål, hvilket rettslig grunnlag, hvilke mottakere, hvilken oppbevaringsperiode.
11. Implementer rettigheter for de registrerte
Sett opp prosesser for innsynsforespørsler, slettingsforespørsler, dataportabilitet og innsigelser. Svar innen 30 dager.
12. Konfigurer oppbevaring av data
Ikke oppbevar personopplysninger lenger enn nødvendig. Sett oppbevaringsperioder i Google Analytics, CRM-systemet, e-postplattformen og databaser.
13. Sikre dataene dine
HTTPS overalt, krypterte databaser, tilgangskontroller, regelmessige sikkerhetsrevisjoner. Databrudd må rapporteres til tilsynsmyndigheten innen 72 timer.
14. Lær opp teamet ditt
Alle som håndterer personopplysninger trenger GDPR-opplæring — markedsføring, salg, støtte, teknologi. Dokumenter opplæringen.
15. Planlegg regelmessige revisjoner
Gjennomgå samsvaret ditt kvartalsvis. Nye informasjonskapsler dukker opp når du legger til verktøy. Retningslinjer må oppdateres. Samtykkerater må overvåkes.
Kostnadene ved manglende samsvar
- Bøter: Opptil 20 millioner euro eller 4 % av global årlig omsetning
- Omdømme: Databrudd og bøter er offentlige — kunder legger merke til det
- Inntekter: Ugyldig samtykke betyr tapte annonseinntekter og upålitelige data
FlexyConsent dekker steg 1–8 automatisk
- Google-sertifisert + IAB Europe-registrert CMP
- Automatisk skanning og klassifisering av informasjonskapsler
- Consent Mode V2 + TCF 2.3 innebygd
- 43+ språk med automatisk gjenkjenning
- Standard nektet for EØS-besøkende
- Samtykkebevisregistreringer med tidsstempler
- Fra €0/måned — samsvarer fra dag én