Varför HubSpot-spårning kräver en verklig samtyckessignal

HubSpot placerar ett antal förstapartscookies på en besökares enhet så fort spårningsskriptet (HubSpot JavaScript-fragmentet, vanligtvis hs-scripts.com/{hub_id}.js) körs. De mest betydande är __hstc, hubspotutk och __hssc, som tillsammans identifierar besökaren över sessioner, kopplar formulärinlämningar tillbaka till anonym webbhistorik och matar poängsättningsmodeller för leads i CRM. Under GDPR och ePrivacy-direktivet är alla tre icke-nödvändiga cookies som kräver fritt givet, specifikt, informerat och otvetydigt föregående samtycke. Att ladda fragmentet i dokumenthuvudet — vilket är HubSpots standard-integrationsmönster — placerar dessa cookies innan besökaren har tillfrågats om något alls.

Konsekvenserna är inte teoretiska. Dataskyddsmyndigheter i Frankrike, Italien och Spanien har alla utfärdat tillsynsåtgärder under de senaste två åren mot organisationer vars marknadsföringsstackar satte spårningscookies före samtycke. Böterna har varierat från femsiffriga straff för små utgivare till mångmiljonstraff i euro för stora företag. HubSpots inbyggda cookie-banner finns, men den är avsiktligt enkel och blockerar inte av sig självt fragmentet från att köras. De flesta efterlevnadsbedömare behandlar det som ett meddelandelager snarare än ett kontrollager.

Vad HubSpot faktiskt spårar

Innan du bestämmer hur du ska begränsa HubSpot är det hjälpsamt att vara precis om vilka kategorier av behandling som är aktuella. HubSpots spårningsyta delas in i fyra överlappande segment, var och ett med sina egna samtyckesimplikationer.

Beteendeanalys

Händelser för sidvisning, klick, scrollning och sessionstid samlas in automatiskt när spårningskoden laddas. Dessa händelser bygger besökarens tidslinje som du ser i HubSpots kontaktposter och är grunden för varje poängsättningsregel för leads eller arbetsflödesregel. Ur ett tillsynsperspektiv är detta enkel spårningsanalys och kräver opt-in-samtycke i EU och EEA. I UK behandlar ICO:s riktlinjer från 2023 det identiskt.

Formulär och chatt

HubSpot-formulär och HubSpot chattwidget (tidigare Drift-integration) kan konfigureras att laddas oberoende av det huvudsakliga spårningsskriptet. Formulärinlämningar betraktas i de flesta rättsliga analyser som en separat behandlingsaktivitet med sin egen rättsliga grund — vanligtvis avtalsuppfyllelse eller berättigat intresse. Chatt som spelar in transkript på en tredjepartsserver kräver dock i allmänhet samtycke för själva inspelningen.

Identitetssömning över domäner

Om du använder samma HubSpot-portal över flera domäner kommer fragmentet att försöka ställa in och läsa cookies på ett sätt som kopplar samman besökare över dessa egenskaper. Detta övergår i vad EDPB kallar "spårning" i strikt mening och är den högst riskfyllda kategorin. Det är också den som troligtvis flaggas under en DPIA.

Marknadsföringsintegrationer

HubSpot kan skicka händelser till Google Ads, Meta, LinkedIn och andra annonsnätverk via sina integrationer. Var och en av dessa vidareöverföringar bär sina egna samtyckeskrav och, inom EU, sin egen bedömning av dataöverföring.

Inbyggd HubSpot-banner kontra tredjeparts-CMP

HubSpot levererar en inbyggd banner för cookie-samtycke som du kan aktivera från Inställningar > Sekretess & Samtycke. Den visar ett konfigurerbart meddelande, loggar en samtyckespost mot kontakten och respekterar en enda avanmälan för analys. För mycket små organisationer i lågriskjurisdiktioner kan det räcka. För alla som tar efterlevnad på allvar — eller alla som kör samtyckeslägesmedveten annonsering — räcker det inte.

Skälen till att flytta till en tredjeparts-CMP är praktiska:

• Detaljerade kategorier. Den inbyggda bannern separerar inte strikt nödvändiga, funktionella, analytiska och marknadsföringscookies i separata växlar, vilket är den struktur tillsynsmyndigheter förväntar sig.
• Stöd för IAB TCF och GPP. Om du deltar i programmatisk annonsering behöver du en Google-certifierad CMP som sänder en giltig TC-sträng. Den inbyggda HubSpot-bannern gör inte detta.
• Consent Mode v2. Google kräver nu samtyckessignaler levererade i v2-format för EEA-trafik. En dedikerad CMP kopplar detta från ände till ände, inklusive konfiguration av standard-neka.
• Flerspråkighet och tillgänglighet. De flesta CMP:er levereras med 30+ språkpaket och WCAG-kompatibla standardvärden. HubSpots inbyggda banner är mer begränsad.
• Loggning på revisionsnivå. En dedikerad CMP registrerar varje samtycksbeslut med tidsstämpel, bannerversion och val — de bevis tillsynsmyndigheter efterfrågar i utredningar.

Steg-för-steg-integration med en tredjeparts-CMP

Det integrationsmönster som fungerar tillförlitligt är att behålla HubSpot-fragmentet på sidan men förhindra det från att köras tills ett samtycksbeslut registreras. Nedan är det kanoniska tillvägagångssättet, skrivet generellt så att det gäller för alla moderna CMP inklusive FlexyConsent.

1. Ta bort standardfragmentet från dokumenthuvudet

I din webbplatsmall, ta bort den inbyggda <script>-taggen som laddar hs-scripts.com/{hub_id}.js. Ersätt den med en platshållare som din CMP kan aktivera senare, vanligtvis genom att ställa in type-attributet till text/plain och lägga till ett kategori-dataattribut som data-category="marketing".

2. Mappa HubSpot till rätt samtyckeskategori

De flesta CMP:er använder IAB TCF eller en fyrdelad modell: nödvändiga, funktionella, analytiska, marknadsföring. HubSpots spårningsskript berör både analys- och marknadsföringskategorierna på grund av CRM-integrationen. Den konservativa mappningen är att begränsa hela fragmentet bakom marknadsföringskategorin, som är det mest restriktiva segmentet. Om din CMP tillåter finkorrig mappning kan du dela upp: ladda formulär under funktionellt, ladda analyshändelser under analys och ladda CRM-identitetssömning under marknadsföring.

3. Konfigurera aktiveringens återanrop

Din CMP exponerar en händelse eller ett återanrop som triggas när en användare beviljar samtycke för en kategori. I det återanropet, skriv om platshållarskripttaggens type-attribut tillbaka till text/javascript och lägg till den i dokumentet. Skriptet laddas och körs sedan normalt. För en SPA, registrera återanropet vid varje ruttändring så att nyligen monterade sidor också tar emot aktiveringen.

4. Koppla Consent Mode v2

Om du använder Google Ads eller GA4 tillsammans med HubSpot behöver din CMP skicka v2-samtyckessignalerna — ad_storage, analytics_storage, ad_user_data, ad_personalization — till dataLayer innan någon Google-tagg körs. HubSpot själv konsumerar inte dessa signaler, men resten av din stack gör det, och inkonsekvens mellan HubSpot och Google kommer att visa sig i din rapportering som ett mätbart intäktsgap.

5. Synkronisera samtycksstatus till HubSpot CRM

När en känd kontakt uppdaterar sitt samtycke (till exempel genom att återbesöka bannern och återkalla marknadsföringssamtycket) bör du spegla det i HubSpot-posten så att arbetsflödeslogiken slutar skicka marknadsföringsmail. HubSpot API exponerar en communication-preferences-slutpunkt som accepterar uppdateringar på prenumerationsnivå. De flesta CMP:er kan konfigureras att anropa denna slutpunkt från en server-sidig hook.

Vanliga fallgropar och hur man undviker dem

Tre integrationsmisstag utgör merparten av de revisionsresultat vi ser i HubSpot-tunga stackar.

Att ladda fragmentet för tidigt

Vissa team placerar HubSpot-taggen inuti en tagghanterare och antar att tagghanteraren hanterar samtycke. Google Tag Manager respekterar samtyckesläge, men bara för taggar som uttryckligen kräver ett beviljat tillstånd. Om HubSpot-taggen konfigureras utan det kravet kommer GTM att köra den oavsett. Ställ alltid in fältet Ytterligare samtycke på taggen för att kräva marknadsföringssamtycke innan den körs.

Att glömma formulärskript

HubSpot-formulär levereras från en separat domän (forms.hsforms.com) och kan bäddas in med ett eget skript. Om du begränsar det huvudsakliga spårningsfragmentet men låter formulärskriptet laddas vid initial rendering har du inte riktigt löst problemet — formulärbiblioteket sätter identifieringscookies på egen hand. Begränsa båda och låt CMP ladda dem tillsammans.

Att behandla avanmälan som anmälan

HubSpots inbyggda inställningar inkluderar ett alternativ för Spåra inte och en avanmälan med ett klick. Vissa team tolkar dessa som en tillräcklig mekanism för att uppfylla GDPR. De är inte det — GDPR kräver ett bekräftande opt-in för icke-nödvändiga cookies, och en avanmälningsruta begravd på en sekretesssida uppfyller inte det kravet. Gör CMP till den auktoritativa källan för samtycksstatus och konfigurera HubSpot att följa den.

Revisionsklar dokumentation

Efter att den tekniska integrationen är på plats är det sista steget att se till att ditt bevismaterial kan motstå en tillsynsförfrågan. Håll som minimum register över: de kategorier din CMP mappar HubSpot till, versionen av samtycksbannern som är aktiv vid ett givet datum, exempel-TC-strängar som visar giltigt samtycke och API-loggar som bevisar att HubSpot inte sände något spårningsanrop innan samtycke beviljades. De flesta tillsynsåtgärder fastnar inte på teknologin utan på dokumentationen — organisationer som kan producera ett tydligt pappersspår löser vanligtvis utredningar mycket snabbare än de som inte kan det. En samtyckeshanteringsplattform som exporterar dessa artefakter på begäran förvandlar revisionen från en fleraveckors jakt till ett eftermiddagssvar.