15-stegs checklistan

1. Installera en certifierad CMP

Din plattform för samtyckeshantering måste vara Google-certifierad och registrerad hos IAB Europe. Detta säkerställer efterlevnad av både Consent Mode V2 och TCF 2.3.

2. Granska alla cookies och spårare

Skanna din webbplats efter varje cookie, pixel, SDK och lokalt lagringselement. Klassificera varje som strikt nödvändig, analys eller annonsering. Ta bort allt du inte kan motivera.

3. Konfigurera ditt samtycksbanner

Se till att det finns lika Acceptera/Avvisa-knappar, tydligt språk på besökarens modersmål och inga förväljda rutor. Bannern måste visas innan icke-nödvändig spårning aktiveras.

4. Ställ in standardsamtycke till Nekat

För EES-besökare måste alla icke-nödvändiga samtyckeskategorier som standard vara nekade. Endast strikt nödvändiga cookies får aktiveras utan samtycke.

5. Publicera en integritetspolicy

Din integritetspolicy måste förklara vilka uppgifter du samlar in, varför, den rättsliga grunden, vem som tar emot dem, lagringsperioder och hur användare kan utöva sina rättigheter.

6. Publicera en cookiepolicy

Lista varje cookie, dess syfte, varaktighet och om den är från första eller tredje part. Länka till denna från ditt samtycksbanner.

7. Aktivera Google Consent Mode V2

Konfigurera avancerat läge så att Google-taggar aktiveras i begränsat läge före samtycke och sedan växlar till fullständig spårning efter samtycke.

8. Aktivera IAB TCF 2.3

Om du driver programmatisk annonsering måste din CMP generera giltiga TC-strängar. Verifiera med IABs TCF-valideringsverktyg.

9. Underteckna databehandlingsavtal

Varje tredje part som tar emot personuppgifter från din webbplats behöver ett DPA. Google, Meta, analysleverantörer, e-postplattformar — alla.

10. Upprätthåll ett register över behandlingsaktiviteter

Dokumentera varje databehandlingsoperation: vilka uppgifter, vilket syfte, vilken rättslig grund, vilka mottagare, vilken lagringsperiod.

11. Implementera de registrerades rättigheter

Sätt upp processer för tillgångsförfrågningar, raderingsförfrågningar, dataportabilitet och invändningar. Svara inom 30 dagar.

12. Konfigurera datalagring

Behåll inte personuppgifter längre än nödvändigt. Ställ in lagringsperioder i Google Analytics, ditt CRM, e-postplattform och databaser.

13. Säkra dina uppgifter

HTTPS överallt, krypterade databaser, åtkomstkontroller, regelbundna säkerhetsgranskningar. Dataintrång måste rapporteras till din tillsynsmyndighet inom 72 timmar.

14. Utbilda ditt team

Alla som hanterar personuppgifter behöver GDPR-utbildning — marknadsföring, försäljning, support, teknik. Dokumentera utbildningen.

15. Schemalägg regelbundna granskningar

Granska din efterlevnad kvartalsvis. Nya cookies dyker upp när du lägger till verktyg. Policyer behöver uppdateras. Samtyckesfrekvenser behöver övervakas.

Kostnaden för bristande efterlevnad

FlexyConsent täcker steg 1–8 automatiskt