Hoppa till huvudinnehåll
Bevakning · levande

Bevakning · Digital Omnibus

Digital Omnibus och Article 88a.

EU:s reform av cookie- och dataskyddsreglerna föreslogs i november 2025. Article 88a inför ett consent-undantag för first-party audience measurement under stränga villkor. Här samlar vi vad som faktiskt står, varför GA4 inte kvalificerar i sin nuvarande form, och vad ni ska göra för att ligga rätt när full effekt nås 2028.

Det här är en levande sida. Vi uppdaterar den när lagstiftningen rör sig.

Vår GDPR-tjänst eller börja med en

Tre datum att hålla i huvudet: februari 2025 drogs ePrivacy tillbaka, november 2025 föreslogs Digital Omnibus, Q1 2028 är den tidigaste punkten då en first-party-arkitektur som klarar 88a-kraven kan slippa cookie-banner.

Migrationen till en arkitektur som klarar 88a-kraven tar tid, oftast sex till tolv månader när server-side, CMP och ändamålsdokumentation ska sitta. Det är därför 2026 är förberedelseåret, inte 2028.

Lägesbild

Vad som har hänt och vad som ligger framåt.

EU-kommissionen drog formellt tillbaka ePrivacy-regulationen i februari 2025 efter åtta år av låsta förhandlingar. Som ersättning lade kommissionen fram Digital Omnibus-paketet den 19 november 2025, ett reformpaket som bland annat ändrar GDPR och inför artikel 88a, ett consent-undantag för first-party audience measurement.

Förhandlingar mellan medlemsstater pågår under 2026 och 2027. Antagande väntas i slutet av 2026 eller under 2027. Full effekt på consent-fri first-party-analytics nås tidigast Q1 2028. EDPB och EDPS har redan publicerat en gemensam opinion (2/2026) som stödjer harmoniseringsmålen men reser frågor om scope. Detta betyder att texten kan skärpas innan slutgiltigt antagande.

Artikel 88a, de sex kriterierna

För att slippa consent enligt 88a-undantaget måste all mätning uppfylla samtliga punkter. Brister på en så faller hela undantaget.

  1. 01

    Endast first-party

    Datan måste samlas in och processas av den som driver sajten, inte en tredjepartstjänst. Det är en arkitekturfråga, inte en flagga som kan slås på eller av.

  2. 02

    Ingen cross-site tracking

    Datan får inte länkas mellan olika sajter eller domäner. Det räcker inte att funktionen är avstängd, arkitekturen måste utesluta möjligheten.

  3. 03

    Ingen tredjepartsdelning

    Datan får inte delas vidare till andra parter, oavsett om det är för rapportering, modellträning eller aggregerade insikter. Det inkluderar leverantörens egna sekundära användningar.

  4. 04

    Aggregerad data, inte individnivå

    Lagringen ska vara aggregerad, inte event-nivå med individ-identifierare. Det är skillnad mellan ”vi visar bara aggregat i rapporterna” och ”vi lagrar bara aggregat”. Det är det senare som krävs.

  5. 05

    Definierat och dokumenterat ändamål

    Varje datapunkt ska kunna kopplas till ett uttalat, avgränsat syfte. Inga insamlingar ”ifall vi behöver det senare”. Ändamålet ska framgå i CMP, integritetspolicy och intern dokumentation.

  6. 06

    Hårda retentionsgränser

    Cookies max 13 månader, data max 25 månader. Det betyder att backups och dataexport för långsiktiga analyser behöver hanteras separat och med tydlig juridisk grund.

GA4 kvalificerar inte för 88a-undantaget i sin nuvarande form. Det är inte en konfigurationsfråga, det är en arkitekturfråga.

Två datavägar för analys Tredjepart-flöde till Google klarar inte 88a-kraven. First-party-flöde till egen lagring gör det. Mätning på sajten GA4-tag Google, USA × TREDJEPART EJ KVALIFIC. Server-side Egen lagring, EU FIRST-PARTY KVALIFIC. 88a
Fig. Samma användardata, två tekniska vägar. Endast den nedre uppfyller 88a-kraven.
  1. 01

    Tredjepartsdelning

    När GA4 implementeras är ni first-party från användarens perspektiv, men Google är en tredje part som tar emot och processar datan på sina servrar. Google använder datan inte bara för era rapporter utan också för egna ändamål, modellträning och aggregerade insikter över hela ekosystemet. Det räknas som tredjepartsdelning även om ni inte aktivt slår på Data sharing-flaggorna.

  2. 02

    Cross-site tracking inbyggt

    GA4 är designat med cross-site-funktionalitet i grunden. Google Signals länkar inloggade Google-användare över sajter via deras Google-konto. Cross-domain tracking är en kärnfunktion. 88a kräver att arkitekturen utesluter den möjligheten, inte bara att den är avstängd just nu.

  3. 03

    Inte aggregerad lagring

    GA4 lagrar data på event-nivå med client_id och tidstämplar. Datan är på individnivå bakom UI:t även om individer inte syns i rapporterna. 88a kräver aggregerad lagring, inte aggregerad visning.

  4. 04

    Ändamålsbegränsning bryts

    Google har enligt sina villkor rätt att använda aggregerad och härledd data för egna syften (produktförbättring, modellträning, branschinsikter). Det går utanför ändamålsbegränsningen som 88a kräver.

  5. 05

    Tredjelandstransfers

    GA4-data passerar fortfarande genom US-infrastruktur i många konfigurationer. CNIL i Frankrike och DPA i Österrike har redan dömt mot GA-användning under GDPR av just denna anledning. Schrems II-frågan är inte löst, även om Data Privacy Framework gör situationen mer praktiskt hanterbar.

  6. 06

    Designhistoriskt arv

    GA4 är fundamentalt designat för att fungera med consent (via Consent Mode v2) och förlita sig på Googles modellering när consent saknas. Verktyg som Plausible eller Matomo är designade från grunden för att fungera utan consent. 88a är skrivet för att gynna den senare designfilosofin.

Kan GA4 delvis uppfylla 88a-kraven?

En hybridväg diskuteras: egen GTM Server Container på till exempel Cloud Run som fångar request, anonymiserar IP, filtrerar bort allt som kan vara individnivå, och skickar bara avgränsade aggregat vidare till Google. Tekniskt komplicerat, juridiskt grätt. Diskussionen pågår om en sådan setup faktiskt klarar 88a-kraven, eller om Googles fortsatta behandling i USA bryter undantaget redan i sig.

Vår bedömning idag är att hybridvägen kan hålla i vissa avgränsade fall (till exempel en helt aggregerad besöksräkning) men inte räcker för full event-baserad analys. Den som vill bygga produktanalys, attribution eller funnels med samma datakälla behöver en annan arkitektur.

Verktyg som kan klara 88a-kraven

Inget verktyg klarar 88a-kraven av sig själv. Det är setupen som avgör. Men vissa verktyg gör det avsevärt enklare att bygga en setup som klarar kraven.

  • Piwik PRO (Polen, EU-residency). Klarar oftast 88a-kraven med rätt setup. Designat för EU-marknaden från start.
  • Matomo (open source, kan self-hostas). Full kontroll över lagring och retention. Tyngre att drifta själv.
  • Plausible (Tjeckien, privacy-first by design). Lättviktigt, lämpar sig för sajter där produktanalys inte är behovet.
  • Fathom (privacy-first, US-baserat). Kan potentiellt klara 88a-kraven om data-residency hanteras, värt att titta på men US-frågan kvarstår.
  • Egna server-side-implementationer. Mest arbete, mest kontroll. När varken Piwik PRO eller Matomo passar er stack är det här vägen.

Andra reformer i samma paket

88a är den mest omtalade delen men inte den enda.

  • Single-click reject-all i CMP:er. Krav på att avvisa-alla ska vara lika lätt som att acceptera. Många dagens banners faller på det här.
  • Browser- och OS-nivå-signaler. Standardiserade privacy-signaler som måste respekteras. Det här kommer att förändra hur CMP och tagging hanterar consent över tid.
  • Sex månaders karenstid. Innan en användare får frågan igen efter att ha avvisat. Slutet på dagliga banner-prompts på samma sajt.
  • ”Non-risk”-cookies utan popup. Rena besöksräkningar utan personliga inslag triggar inte cookie-banner.

EDPB:s motvilja

EDPB och EDPS publicerade Joint Opinion 2/2026 i februari 2026. De stödjer harmoniseringsmålen men reser oro över att förslagen ”narrowing scope” av dataskyddet. Specifikt krävde de tydligare definitioner av aggregerad analys och tredjepartsdelning, samt skarpare skydd mot att 88a tolkas brett.

Konsekvensen för svenska bolag: texten i artikel 88a kan skärpas innan slutgiltigt antagande. Det vi planerar för idag baseras på utkastet från november 2025. Vi följer förhandlingarna och uppdaterar den här sidan när det rör sig.

Parallella spår att hålla koll på

  • Digital Fairness Act (DFA). Annonseras Q4 2026 med fokus på dark patterns och addictive design. Påverkar UX kring consent och dataval.
  • UK Data Use and Access Act 2025 (DUAA). Storbritannien har redan implementerat liknande analytics-undantag. Vägledande för hur 88a kan komma att tolkas i praktik.
  • Nationella undantag. Frankrike, Spanien och Italien har redan idag nationella undantag för first-party-analytics. Sverige följer EDPB:s striktare linje fram till Digital Omnibus harmoniserar bilden.

Regulatorisk tidslinje

Var i förändringen vi befinner oss, och vad som kommer.

Feb 2025
ePrivacy dras tillbaka

Åtta års förhandlingar slutar utan resultat. Kommissionen söker ny väg.

Nov 2025
Digital Omnibus föreslås

Artikel 88a, single-click reject-all, webbläsarsignaler, sex månaders karenstid.

2026 → 2027
Antagande och ikraftträdande

Förhandlingar mellan medlemsstater. EDPB-opinion publicerad. Förändringar kan komma. Nu är tid att börja förbereda.

Q1 2028
Full effekt

Sajter med first-party-mätning som uppfyller 88a-kraven får ta bort cookie-banners.

Vad ni ska göra härnäst

Sex arbetsområden som tillsammans tar er från ”GA4 + cookie-banner” till en first-party-arkitektur som uppfyller 88a-kraven. De flesta kan göras parallellt.

  1. 01

    Audit mot 88a-kriterierna

    Bedöm var er nuvarande setup står mot de sex kriterierna. Det är ofta första gången brister blir explicita istället för diffusa.

  2. 02

    Migrationsplan

    Från GA4 till en arkitektur som klarar 88a-kraven, eller till en hybrid som täcker era kritiska use cases. Beslut om vilka rapporter och analyser ni faktiskt behöver bevara.

  3. 03

    First-party-arkitektur via server-side

    GTM Server Container på Cloud Run, Stape, eller egen lösning. Detta är förutsättningen för det mesta som följer.

  4. 04

    Ändamålsdokumentation

    Per data-användning. En datapunkt utan dokumenterat syfte hör inte hemma i en setup som ska klara 88a-kraven.

  5. 05

    CMP-omställning

    Respekt för signaler från webbläsare och OS, single-click reject-all, sex månaders karenstid, ändamålsmärkning. Många befintliga CMP-installationer behöver konfigureras om från grunden.

  6. 06

    Löpande validering

    Setupen är inte stabil. Verktyg uppdateras, deploys ändrar dataLayer, jurister tolkar om. Validera kontinuerligt att ni fortsätter uppfylla 88a-kraven.

Vill ni veta var ni står just nu? Mätningsdiagnos är ett bra första steg Vi inkluderar 88a-bedömning som del av den.

Vi hjälper er ligga rätt 2027.

Läs mer om vår löpande , eller mejla .

Boka 30 minuter

Uppdateringslog

Vi noterar här när sidan uppdateras. Mindre språkjusteringar loggas inte.

  1. 11 maj 2026
    Första publicering. Lägesbild, 88a-kriterier, sex skäl till att GA4 inte kvalificerar, hybrid-diskussion, verktyg, parallella reformer, EDPB Joint Opinion 2/2026 och tidslinje.

Källor: EU Commission Digital Omnibus FAQ, EDPB-EDPS Joint Opinion 2/2026, ClickPort, McDermott, Osborne Clarke. Fullständiga länkar på begäran.