Integreringsguide for Microsoft Clarity-sessionsinspelning och cookiesamtycke for 2026
Microsoft Clarity lanserades 2020 som ett gratis, kvotfritt alternativ till Hotjar och Smartlook for sessionsinspelning, varmekartor och interaktionsanalys. Fem ar senare finns det pa en betydande andel av medelstora och smaforetagswebbplatser varlden over, dels for att det ar genuint anvandbart och dels for att installationen ar en rad JavaScript som de flesta operatorer klister in utan vidare eftertanke. Ur ett integritetsperspektiv ar just den lattheten i installationen problemet. Clarity registrerar musrorelser, scrollbeteende, klick, tangentryckningar, formularinteraktioner och fullstandiga DOM-ogonblicksbilder av sidan — det tataste beteendepaketet av alla vanligt driftsatta analysverktyg — och vidarebefordrar allt till Microsofts servrar i samma ogonblick som skriptet laddas. For varje driftsattning som berор trafik fran EU, UK, EEA, Brasilien eller Kalifornien ar standardinstallationen inte godkand, och de tillsynsmyndigheter som ar mest aktiva inom sessionsinspelningsefterlevnad — CNIL, italienska Garante, UK ICO — har tydligt uttalat att analysen galler oavsett verktygets prisniva eller leverantor. Den har guiden gar igenom vad Clarity registrerar, hur samtycksgranzen fungerar och integrationsmonstret som overlever revision.
Vad Clarity faktiskt registrerar
Clarity SDK (laddad fran www.clarity.ms/tag/{project_id}) initierar ett globalt clarity-objekt och identifierar besokare med en Microsoft-agd cookie kallad _clck, tillsammans med en sessionscookie _clsk. Fran det ogonblicket fangar skriptet en tat beteendesstrom:
- Mus- och pekingang — varje rorelse, klick, tryck, rullning och gest registreras med tidsstampel och koordinater.
- Formularinteraktioner — fokus-, blur- och inmatningshandelser pa varje formularfalt, plus texten i icke-kansliga falt om maskering inte ar konfigurerad.
- DOM-ogonblicksbilder — periodiska fullstandiga ogonblicksbilder av sidans DOM sa att sessionsuppspelningen kan rekonstruera det exakta visuella tillstandet vid vilket ogonblick som helst.
- Anpassade handelser — alla handelser som applikationen uttryckligen sander ut via clarity("event", "name")-anrop.
- Prestanda- och feldata — JavaScript-fel, natverksfel och tidsinstellningar for karnwebsignaler.
- Identifierardata — den Clarity-agda cookien plus IP-harlett geolokalisering och user-agent-fingeravtryck.
Kombinationen — sarskilt DOM-ogonblicksbilderna och formularfaltsfangsten — gor Clarity funktionellt likvardigt med en videoinspelning av besoknarens session. Den regulatoriska klassificeringen under GDPR ar enkel: detta ar behandling av personuppgifter, cookies ar icke-nodvandiga, data korsar granser till Microsofts amerikanska infrastruktur och den lagliga grunden som kravs ar samtycke. CINLs vagledning fran 2024 om sessionsinspelning ar otvetydig i detta avseende och namner uttryckligen verktyg i Claritys kategori.
Risken med kansliga uppgifter
Sessionsinspelningsverktyg har en specifik integritetsrisk som andra analysverktyg inte har: de kan av misstag fanga kansliga personuppgifter. En anvandare som skriver ett kreditkortsnummer, ett halsotillstand, en religios tillhorighet eller ett nationellt identifieringsnummer i ett formularfalt registreras av Clarity om faltet inte ar uttryckligen maskerat. Under GDPR ar detta behandling av kansliga personuppgifter enligt Article 9, vilket kraver uttryckligt opt-in-samtycke och sallan tackas av ett generellt marknadsforingssamtycksbeslut.
Clarity stodjer en innehallsmaskningskonfiguration som doljer specifika falt fran inspelning, men standardbeteendet fangar allt. Det revisionsforsvarbara tillvagagangssattet ar att maskera aggressivt — anta att varje formularfalt ar kansligt tills motsatsen bevisas — och att dokumentera maskeringsbesluten uttryckligen.
Inbyggda sekretessinstaellningar i Clarity
Microsoft har investerat i Claritys sekretessinstaellningar under de senaste tva aren. Plattformen exponerar nu flera primitiver som en CMP-integration kan utnyttja.
Maskattributet
Att lagga till data-clarity-mask="true" till ett DOM-element doljer dess innehall fran sessionsinspelningen. Att lagga till data-clarity-unmask="true" till ett underordnat element asidosatter masken for det undertrad. Ratt standard for ett formularfalt som kan innehalla personuppgifter ar att maskera, sedan uttryckligen avmaskera dar det ar sakert.
Samtyckes-API:et
Clarity exponerar ett clarity("consent")-anrop som, nar det anropas, signalerar att samtycke har beviljats och att SDK:n bor fortsatta. Utan detta anrop kan SDK:n konfigureras att stoppa efter initial laddning. Detta ar ratt primitiv for CMP-integration pa aktiveringssidan.
IP-maskering och identifierarhantering
Clarity-projektinstaellningarna exponerar alternativ for IP-trunkering och identifierarmaskering. Att aktivera dessa ar en djupforsvarsmaessig atgard utover CMP-styrning; det ersatter inte samtycke.
Automatisk maskering av kansligt innehall
Nyliga Clarity-versioner forsaker automatiskt upptacka kansliga falt (kreditkortsmonster, losenordsfalt, falt med namn som "ssn" eller liknande) och maskera dem som standard. Identifieringen ar heuristisk och ofullstandig; forlita dig inte pa den som enda forsvarslinje.
Steg-for-steg CMP-integration
Den tillforlitliga arkitekturen ar att skjuta upp Clarity SDK helt tills samtycke ges, sedan aktivera det uttryckligen via samtyckes-API:et.
1. Ta bort standardtaggen fran dokumenthuvudet
Clarity-installationsfragmentet ar ett enda inbaeddat skript som initierar SDK:n vid sidladdning. Ersatt det med ett platshallarskriptelement vars type ar text/plain och vars data-category ar analytics eller marketing beroende pa hur din CMP kategoriserar sessionsinspelningsverktyg.
2. Besluta om kategoriinmappning
Sessionsinspelning ar en omtvistad kategori. CNIL har behandlat det varierande som analys (nar data anvands for intern UX-forskning) och som marknadsforring (nar data matar personaliseringsbeslut eller extern delning). Den konservativa mappningen ar marknadsforring; den revisionsforsvarbara positionen kraver att du ar specifik om hur inspelningarna faktiskt anvands.
3. Konfigurera aggressiv maskering fore aktivering
Lagg till data-clarity-mask="true" till varje formularelement, varje inmatningsfalt, varje behallare som kan innehalla personuppgifter. Standardpolicyn ar mask-som-standard med uttryckliga avmaskningsundantag for element som ar kanda att vara sakra (sidtitlar, navigeringsetiketter, offentliga innehallsblock).
4. Aktivera Clarity fran samtyckesatercaanropet
Nar CMP utloser den relevanta kategori-accepterad-handelsen, skriv om platshallarskripttaggen och anropa clarity("consent") for att ge SDK:n tillstand att fortsatta. Koade handelser som buffrades under foresamtyckesperioden toms sedan.
5. Hantera aterkallelse uttryckligen
Om anvandaren aterkallare samtycket har Clarity SDK inte ett rent "stoppa inspelning"-anrop som ar likvardigt med aktiverings-API:et. Det praktiska monstret ar att anropa clarity("consent", false) om det stods i din SDK-version, och dessutom rensa Clarity-cookies pa klientsidan. For fullstandig radering av historiska inspelningar, anvand arbetsfloded for dataradering i Clarity-administratorsgranssnittet eller raderings-API:et.
Vanliga fallgropar
Fyra integrationsmisstag star for majoriteten av revisionsfynd vid Clarity-driftsattningar.
Att installera Clarity "bara for att se vad besokare gor"
Det vanligaste monstret: en produktchef installerar Clarity for att undersoka ett UX-problem, aktiverar aldrig samtyckeskontroll, konfigurerar aldrig maskering och glommar skriptet. Inspelningsytan fortsatter att ackumuleras. Atgarden ar antingen att ta bort Clarity helt eller att fora in det under samma samtyckesarkitektur som alla andra sparare.
Lita pa automatisk maskering
Claritys heuristiska identifiering av kansliga falt fangar uppenbara fall men missar domanespecifika — ett sjukvardspecifikt "symptoms"-textomrade, ett finanssajts "account number"-falt med ett idiosynkratiskt namn. Maskera uttryckligen; forlita dig inte pa identifiering.
Behandla sessionsinspelning som analys
CNIL har tydligt uttalat att sessionsinspelningskategorin ar naermre marknadsforringen an forstpartysanalys ur ett samtyckesperspektiv. Att stanga av Clarity under endast analyssamtycke ar forsvarbart bara om inspelningarna uteslutande anvands for intern UX-forskning och aldrig delas utanfor organisationen.
Glomma anpassade handelsers nyttolaster
Applikationskod som anropar clarity("event", "name", customProperties) kan lacka personuppgifter in i Clarity-strommen via customProperties-nyttolasten. Granska varje anropsplats och undvik att skicka anvandaridentifierare, e-postadresser eller personuppgifter i handelseegenskaper.
Revisionschecklista
Sex konkreta fragor att besvara for varje Clarity-driftsattning som berор trafik fran EU, UK, Brasilien eller Kalifornien.
- Vantar Clarity pa samtycke? Oppna sidan i ett privat fonster och bekrafta att inga clarity.ms-forfragnuingar aktiveras innan bannern accepteras.
- Ar maskeringen aggressiv? Bekrafta att varje formularfalt och varje behallare med potentiellt personligt innehall har data-clarity-mask tillaempat.
- Ar kategoriinmappningen dokumenterad? Bekrafta att det finns en skriftlig dokumentation om huruvida Clarity ar styrt under analys eller marknadsforring, med motivationen.
- Ar samtyckes-API:et inkopplat? Bekrafta att CMP-atercaanropet anropar clarity("consent") vid beviljande och motsvarigheten vid aterkallelse.
- Ar anpassade handelser granskade? Bekrafta att clarity("event", ...)-anrop inte skickar identifierande eller kanslig data i sina egenskapsnyttolaster.
- Ar radering automatiserad? Bekrafta att DSAR-forfragnuingar utloser Claritys raderingsarbetsflode, inte en manuell supportbiljett.
Var Clarity passar in i en samtyckesorienterad stack
Sessionsinspelning ar den beteendespaarningsyta med hogst informatiosnstathet i vanlig driftsattning, och Clarity ar verktyget som har demokratiserat det mest aggressivt. Den gratis prisnivan och friktionsfri installation gor det till vagen med minst motstand for varje team som vill ha insyn i UX-beteende. Samma friktionsfria installation ar vad som gor Clarity till det mest felkonfigurerade analysverktyget i 2026 ars revisioner. Ratt arkitektur behandlar Clarity som alla andra identifierande sparare: stang av det bakom uttryckligt samtycke, maskera formularfalt aggressivt som standard, dokumentera kategoriinmappningen och koppla in samtyckes-API:et sa att SDK:ns egna primitiver verkstaller vad CMP registrerade. Utfort korrekt bevaras UX-forskningsvardet som verktyget koptes for, medan den regulatoriska exponeringen sjunker till en braakdel av vad en standardinstallation bar.