Hoppa till huvudinnehåll
Tjänsteben 05 / 06

Privacy & GDPR

Mätning som håller, både juridiskt och tekniskt.

Server-side, consent, EU-residency och arkitektur som klarar Digital Omnibus. Vi jobbar i dialog med era jurister, inte runt dem.

Lika hemma i en DPIA som i en server-side container.

Boka samtal eller maila

Den 19 november 2025 lade EU-kommissionen fram Digital Omnibus, ett reformpaket som bland annat inför artikel 88a, ett consent-undantag för first-party audience measurement under stränga villkor.

Reformen kan antas i slutet av 2026 och träda i kraft tidigast 2027, med full effekt på consent-fri first-party-analytics runt Q1 2028. Det här är inte en avlägsen fråga. Företag som vill ligga rätt 2027 behöver börja förbereda nu, eftersom migrationen till en arkitektur som klarar 88a-kraven tar tid.

Två datavägar för analys Tredjepart-flöde till Google klarar inte 88a-kraven. First-party-flöde till egen lagring gör det. Mätning på sajten GA4-tag Google, USA × TREDJEPART EJ KVALIFIC. Server-side Egen lagring, EU FIRST-PARTY KVALIFIC. 88a
Fig. Samma användardata, två tekniska vägar. Endast den nedre uppfyller 88a-kraven.

Läs vår löpande bevakning

Det vi går in med

Fyra arbetsområden. Vanligtvis kombineras de. En GDPR-audit leder ofta till server-side-arbete, som leder till en CMP-omkonfiguration, som leder till Digital Omnibus-bedömning.

  1. 01

    Audit och DPIA-stöd

    Vi går igenom er nuvarande mätning mot GDPR och svensk praxis (IMY, EDPB, relevanta domar), kompletterar er DPIA där ni saknar tekniska bedömningar, och sätter oss vid bordet med era jurister när det behövs.

    Vi är inte advokater, men vi förstår de tekniska konsekvenserna av juridiska beslut tillräckligt väl för att översätta mellan parterna. Det är ofta där projekt fastnar, mellan jurist och teknik, och det är där vi gör mest nytta.

  2. 02

    Server-side och first-party-arkitektur

    Stape, GTM Server Container på Cloud Run, eller egen driftsatt lösning. Vi bygger arkitekturen som klarar både prestanda och privacy-krav.

    Server-side-tagging är inte bara en teknisk preferens. Det är ofta förutsättningen för att kunna kvalificera för 88a-undantaget i framtiden, och redan idag förutsättningen för att hålla cookielivslängden inom IMY:s rekommendationer.

  3. 03

    Consent management

    CMP-konfiguration (Cookiebot, OneTrust, Usercentrics), Consent Mode v2-implementation, respekt för webbläsarsignaler och ändamålsmärkning enligt nya regelverket.

    Vi har inget partnerskap med någon CMP-leverantör. När en open source-lösning som Cookie Consent passar er bättre, rekommenderar vi det. När en kommersiell CMP är rätt val på grund av volym eller integrationer, säger vi det också.

  4. 04

    Digital Omnibus och 88a-kvalificering

    Vi bedömer om er nuvarande setup kvalificerar för consent-undantaget under nya regelverket, och hjälper er flytta dit ni vill vara 2027.

    För de flesta som idag kör GA4 är svaret att setupen inte uppfyller kraven utan ändringar. Vi visar er vad som krävs (first-party only, ingen tredjepartsdelning, aggregerad data, dokumenterat ändamål) och hjälper er välja mellan att flytta till en arkitektur som klarar 88a-kraven, behålla GA4 och leva med cookie-banner, eller köra hybrid.

Hur vi jobbar

  1. 01

    Kartlägga

    Era data, system, tredjeparter och avtal. Inkluderar samtal med er DPO eller jurist.

  2. 02

    Bedöma

    Vad som är OK idag, vad som behöver justeras nu, och vad som behöver tänkas om inför 2027.

  3. 03

    Bygga om

    Server-side, CMP, webbläsarsignaler, ändamålsdokumentation. Ofta tillsammans med ert dev-team.

  4. 04

    Hålla aktuellt

    Regelverket utvecklas. Vi följer det löpande och larmar er när något ändras som påverkar er setup.

Regulatorisk tidslinje

Var i förändringen vi befinner oss, och vad som kommer.

Feb 2025
ePrivacy dras tillbaka

Åtta års förhandlingar slutar utan resultat. Kommissionen söker ny väg.

Nov 2025
Digital Omnibus föreslås

Artikel 88a, single-click reject-all, webbläsarsignaler, sex månaders karenstid.

2026 → 2027
Antagande och ikraftträdande

Förhandlingar mellan medlemsstater. Förändringar kan komma. Nu är tid att börja förbereda.

Q1 2028
Full effekt

Sajter med first-party-mätning som uppfyller 88a-kraven får ta bort cookie-banners.

Verktyg och praxis

Vi jobbar i de verktyg som passar er stack. Stape, GTM Server Container på Google Cloud Run och AWS Lambda för server-side-implementation. Cookiebot, OneTrust och Usercentrics när en kommersiell CMP är rätt val, Cookie Consent (open source) eller Klaro när det inte är det. Piwik Pro, Matomo, Plausible och Fathom för first-party-analytics som klarar 88a-kraven. När inget i marknaden passar bygger vi en egen server-side-implementation.

Vem som leder

Två av oss arbetar mest inom det här området.

DA
Daniel Ford
Grundare och senior analytiker

Brygga mellan jurist, marknad och teknik. Strategisk arkitektur, server-side-driftsättning och dialog med er DPO. 20 år i digital, GDPR-arbete sedan 2018.

KL
Kelvin Luhr
Senior analytiker

Konfigurerar GTM-uppsättningen, CMP och flödet bakom den server-side-arkitektur Daniel ritar upp. Skriver återkommande om mätningsdjup på Insights.

Adding Insight har bistått LRF Media med expertis inom spårning, consenthantering och dashboards, från praktiskt utförande till strategisk planering, vilket varit ovärderligt för att uppnå våra affärsmål.

Nicklas Larson Chef Affärsstöd, LRF Media

Inte säker på var ni står? Mätningsdiagnos är ett bra första steg Vi inkluderar GDPR-läget i bedömningen.

Hör av er, vi pratar konkret om ert GDPR-läge.

Mejl till eller boka tid direkt.

Boka 30 minuter