GDPR-compliance: Vi fick 92.3/100 (Så här gjorde vi)
Vi lever som vi lär. Därför körde vi vår SVAR-complianceskanner på vår egen webbplats. Sedan skannade vi en konkurrent i samma bransch. Resultatet? En skillnad på 38 poäng som beror på infrastrukturbeslut de flesta företag aldrig tänker på.
Varför vi skannade oss själva
På Bright Interaction hjälper vi företag att uppnå datasuveränitet och GDPR-compliance. Men hur klarar vi oss mot våra egna krav? Vi bestämde oss för att ta reda på det, och jämförde oss mot ett liknande B2B-teknikföretag i Europa.
Med vår automatiserade SVAR-skanner analyserade vi båda webbplatserna över 13 compliance- och säkerhetsdimensioner. Resultaten berättar en historia om hur små infrastrukturbeslut skapar enorma skillnader i juridisk exponering.
Resultattavlan
| Mätpunkt | Bright Interaction | Konkurrent |
|---|---|---|
| Totalpoäng | 92,3/100 (A) | 53,8/100 (C) |
| Godkända tester | 12/13 | 7/13 |
| Spårning före samtycke | 0 | 3 |
| CDN-beroenden i USA | 0 | 3 |
| Uppskattade olagliga överföringar/månad | 0 | ~2 700 |
| Cookiebanner | Ja (CookieProof, samtyckesstyrd) | Ja (aktiveras före samtycke) |
| GDPR-compliance i integritetspolicy | 100 % | 40 % |
| TLS/NIS2-poäng | 100/100 | 100/100 |
| Webbhosting | EU (Tyskland) | USA (Cloudflare) |
Den avgörande skillnaden: spårning före samtycke
Det största gapet? Vår konkurrent laddar Google Tag Manager och Google Ads-skript som körs innan något samtycke har getts.
När en besökare laddar deras startsida skickas tre spårningsförfrågningar till amerikanska servrar innan de har klickat på någonting. Enligt GDPR artikel 6(1)(a) krävs samtycke innan personuppgifter (inklusive IP-adresser) behandlas, inte efter.
Matematiken bakom bristande compliance
Med ungefär 900 besökare per månad och 3 spårningsöverträdelser per besök genererar vår konkurrent ungefär 2 700 olagliga dataöverföringar per månad. Var och en av dessa är en potentiell GDPR-överträdelse.
På Bright Interaction använder vi Google Analytics men styr det via vår egen samtyckesbanderoll, CookieProof. Inga spårningsskript körs förrän besökaren uttryckligen väljer att godkänna. Skillnaden är enkel: vår konkurrent spårar först och frågar sedan. Vi frågar först och spårar bara efter samtycke.
Det dolda CDN-problemet
Vår konkurrent laddar typsnitt, JavaScript och kartwidgetar från Googles CDN-servrar. Dessa förfrågningar skickar besökarens IP-adress till amerikanska servrar vid varje sidladdning, även om de skulle ta bort alla spårningsskript.
Det här är vad vi kallar "bakdörrs-GDPR-överträdelsen": ett compliancegap som de flesta företag missar helt eftersom de fokuserar på uppenbara trackers medan de ignorerar infrastrukturberoenden.
Konkurrentens CDN-beroenden
- Google Maps API (googleapis.com)
- Google Fonts (fonts.gstatic.com)
- Google Tag Manager (googletagmanager.com)
Vår approach
- Egenhostade typsnitt
- Google Analytics, samtyckesstyrt via CookieProof
- Inga skript körs före uttryckligt samtycke
CLOUD Act-exponeringen
Båda företagen har viss exponering mot amerikansk infrastruktur, men karaktären skiljer sig markant.
Vår setup
Vår webbhosting ligger på EU-servrar i Tyskland (Hetzner). Vår enda amerikanska exponering är e-post via Google Workspace. Det innebär att intern kommunikation i teorin kan begäras ut enligt CLOUD Act, men kundnära webbtrafik stannar helt inom Europa.
Konkurrentens setup
Deras webbhosting ligger på Cloudflare (amerikanskt företag). Varje besökarinteraktion, formulärinskickning och sidvisning passerar genom USA-kontrollerad infrastruktur. Enligt CLOUD Act kan amerikanska myndigheter tvinga Cloudflare att lämna ut denna data utan företagets vetskap.
Verkligheten efter Schrems II
Sedan Schrems II-domen ogiltigförklarade Privacy Shield behöver företag som överför EU-personuppgifter till amerikansk infrastruktur "adekvata skyddsåtgärder", vilket blir allt svårare att visa när man använder amerikanska molnleverantörer.
Samtycke rätt gjort: CookieProof
Båda företagen visar en cookiebanderoll. Skillnaden är vad som händer innan besökaren gör sitt val.
Vår konkurrent laddar spårningsskript som körs direkt, och visar sedan en banderoll som ber om samtycke efter att datan redan har skickats. Den ordningen strider mot GDPR artikel 6(1)(a).
Vi byggde CookieProof, vår egen samtyckesmotor. Den blockerar Google Analytics och alla andra spårningsskript tills besökaren uttryckligen godkänner. Inga skript, inga cookies, inga nätverksförfrågningar till tredje part förrän samtycke har getts. Banderollen är inte dekoration. Den är grinden.
Resultatet: vi får den analysdata vi behöver för affärsbeslut och har samtidigt noll spårningsöverträdelser före samtycke. Du behöver inte välja mellan användbar analys och GDPR-compliance. Du behöver bara få ordningen rätt.
Vad båda företagen gör rätt
Det är inte bara dåliga nyheter för vår konkurrent. Båda företagen visar starka rutiner inom:
- TLS/SSL-konfiguration: Båda uppnådde 100/100 på NIS2:s kryptografiska krav
- E-postautentisering: Båda har DMARC-policyer inställda på "reject"
- Inga exponerade hemligheter: Inget av företagen läckte känsliga sökvägar eller uppgifter
- Inga PDF-metadataläckor: Ingen personligt identifierbar information i dokumentmetadata
Böterisken
Enligt GDPR artikel 83 kan överträdelser leda till böter upp till 20 miljoner EUR eller 4 % av den globala årsomsättningen. Baserat på upptäckta överträdelser:
| Företag | Uppskattat bötesintervall | Primär överträdelse |
|---|---|---|
| Bright Interaction | 10 000 - 500 000 EUR | E-postinfrastruktur på amerikanskt moln |
| Konkurrent | 100 000 - 10 000 000 EUR | Olagliga dataöverföringar |
Skillnaden på 20 gånger i potentiell exponering beror på överträdelsernas karaktär. Behandling utan samtycke faller under artikel 83(5), den högre bötesnivån.
Vad vi jobbar på
Vi är inte perfekta. Vårt enda underkända test är:
- E-postinfrastruktur: Vi använder Google Workspace, vilket skapar CLOUD Act-exponering för intern kommunikation. Våra 5 MX-poster pekar mot Googles amerikanska servrar, vilket innebär att klientmejl i teorin kan begäras ut enligt amerikansk lag.
Vi utvärderar EU-suveräna e-postleverantörer som Proton Mail Business och egenhostad Mailcow för att eliminera denna sista amerikanska exponering och uppnå 100 % suveränitet.
Viktiga lärdomar
- 1. Infrastrukturbeslut spelar roll: Var dina servrar står avgör din juridiska exponering.
- 2. Spårning före samtycke är olagligt: Varje skript som körs före samtycke är en GDPR-överträdelse.
- 3. CDN:er förbises ofta: Att ladda typsnitt från Google är en dataöverföring, även om man inte tänker på det så.
- 4. Samtycke först fungerar: Du kan använda Google Analytics och vara compliant. Blockera allt tills besökaren godkänner.
- 5. CLOUD Act är verklig: Data som lagras i USA omfattas av amerikansk lag, oavsett var ditt företag finns.
Få din kostnadsfria complianceskanning
Vill du veta var ditt företag står? Vår SVAR-complianceskanner analyserar 13 compliance- och säkerhetsdimensioner. Se din poäng, förstå dina risker och få konkreta rekommendationer.