EU-compliance for Joomla — guide til GDPR, det europæiske tilgængelighedsdirektiv og ePrivacy

Hvis dit Joomla-website henvender sig til besøgende i EU, skal du overholde flere regelsæt på én gang — databeskyttelsesforordningen (GDPR), det europæiske tilgængelighedsdirektiv (EAA) og ePrivacy-direktivet. Det er ikke valgfri retningslinjer. Det er gældende lovgivning, håndhævet med mærkbare økonomiske sanktioner.

Denne guide forklarer, hvad hvert regelsæt kræver, hvordan det helt konkret gælder for Joomla-websites, og hvad du skal gøre for at overholde det. Vi holder den løbende opdateret, efterhånden som reglerne udvikler sig, og håndhævelsen tager form.

Få et gratis compliance-tjek →

De tre søjler i EU's webcompliance

1. GDPR — databeskyttelse (gældende siden maj 2018)

Databeskyttelsesforordningen regulerer, hvordan personoplysninger indsamles, behandles, opbevares og deles. For et Joomla-website betyder det:

• Cookiesamtykke: Ikke-nødvendige cookies skal blokeres, indtil den besøgende udtrykkeligt har givet samtykke. Et banner, der blot informerer, er ikke nok — cookies skal reelt forhindres i at blive indlæst.
• Privatlivspolitik: Du skal have en fyldestgørende og korrekt privatlivspolitik, der beskriver alle behandlingsaktiviteter, retsgrundlag, opbevaringsperioder og de registreredes rettigheder.
• Logning af samtykke: Du skal kunne dokumentere, at samtykke er givet — hvornår, hvad der blev samtykket til, og hvilken version af din privatlivspolitik der var gældende.
• De registreredes rettigheder: Besøgende kan bede om indsigt i deres oplysninger, sletning, berigtigelse eller dataportabilitet. Du skal have mekanismer til at håndtere disse anmodninger.
• Databehandleraftaler: Bruger du tredjepartstjenester, der behandler personoplysninger (analyse, e-mailmarketing, betalingsudbydere), skal du have databehandleraftaler på plads.
• Google Consent Mode v2: Bruger du Googles tjenester (Analytics, Ads), skal Consent Mode v2 være implementeret, så samtykkestatus kommunikeres til Google.

Sanktioner: Op til 20 millioner euro eller 4 % af den årlige globale omsætning — det højeste af de to beløb.

Vores GDPR-compliance til Joomla →

2. Det europæiske tilgængelighedsdirektiv (gældende siden juni 2025)

Det europæiske tilgængelighedsdirektiv (EAA) kræver, at websites, der udbyder varer og tjenester i EU, er tilgængelige for mennesker med handicap og lever op til WCAG 2.1 Level AA-standarden (via den europæiske standard EN 301 549).

• Hvem er omfattet: Virksomheder, der udbyder produkter eller tjenester til forbrugere i EU (med begrænsede undtagelser for mikrovirksomheder)
• Hvad kræves: Webindhold, der er opfatteligt, anvendeligt, forståeligt og robust — herunder korrekte alt-tekster, farvekontrast, tastaturnavigation, mærkning af formularfelter, overskriftsstruktur og kompatibilitet med hjælpeteknologi
• Frister: Nyt indhold skal være tilgængeligt fra juni 2025. Alt eksisterende indhold skal være tilgængeligt senest i juni 2030.
• Tilgængelighedserklæring: Dit website skal offentliggøre en erklæring, der beskriver din overensstemmelsesstatus og indeholder en feedbackmekanisme

Sanktioner: Varierer fra medlemsland til medlemsland — i nogle lande op til 100.000 euro eller 4 % af den årlige omsætning.

Vores EAA-compliance til Joomla →

3. ePrivacy-direktivet (cookieloven)

ePrivacy-direktivet er ældre end GDPR og handler specifikt om elektronisk kommunikation, herunder cookies og sporingsteknologier. Hvor GDPR udgør den brede ramme, indeholder ePrivacy-direktivet konkrete regler for, hvornår der kræves samtykke til cookies, og hvordan elektronisk markedsføring skal håndteres.

I praksis overlapper GDPR og ePrivacy betydeligt, når det gælder cookies. Den strengeste fortolkning — som også er den sikre — kræver udtrykkeligt opt-in-samtykke, før der sættes nogen ikke-nødvendige cookies, og at det skal være lige så let at afvise som at acceptere.

En ny ePrivacy-forordning har været under udarbejdelse i årevis og skal på sigt afløse direktivet. Indtil den er endeligt vedtaget, er det nuværende direktiv fortsat gældende, suppleret af GDPR's krav om samtykke.

Landespecifikke krav

GDPR udgør den fælles EU-ramme, men de enkelte medlemslande håndhæver den forskelligt og har tilføjet egne krav. Her er de vigtigste forskelle for de lande, vi oftest arbejder med:

Tyskland (DSGVO)

Tyskland har EU's strengeste fortolkning af kravene til cookiesamtykke. Forbundsdomstolen har slået fast, at samtykke skal gives frivilligt og uden forhåndsafkrydsede felter. Muligheden for at afvise alt skal være lige så synlig og tilgængelig som at acceptere alt. De tyske datatilsyn (hver af de 16 delstater har sit eget) er blandt de mest aktive håndhævere. Websites, der henvender sig til tyske brugere, skal desuden have et Impressum (juridisk kolofon) efter TMG §5.

Frankrig (RGPD)

CNIL (Commission Nationale de l'Informatique et des Libertés) har udgivet konkrete retningslinjer for cookiebannere. Det skal være lige så let at afvise som at acceptere — ingen dark patterns, der gemmer afvisningen bag ekstra klik. CNIL har uddelt store bøder til store virksomheder for overtrædelser af reglerne om cookiesamtykke.

Nederlandene

Det nederlandske datatilsyn (Autoriteit Persoonsgegevens) er en af Europas mest proaktive håndhævelsesmyndigheder. De har prioriteret overholdelse af reglerne om cookiesamtykke og undersøger jævnligt klager. Nederlandene anlægger en streng fortolkning af kravene til samtykke.

Italien

Det italienske datatilsyn (Garante) har specifikke krav til cookieoplysninger og har udgivet retningslinjer for, hvordan information om cookies skal udformes. Den italienske lovgivning stiller særlige krav til analysecookies, der går ud over den generelle GDPR-ramme.

Spanien (LOPDGDD)

Spaniens organiske lov om databeskyttelse supplerer GDPR med yderligere bestemmelser. Det spanske datatilsyn (AEPD) har været stadig mere aktivt i håndhævelsen af reglerne om cookiesamtykke.

De nordiske lande

Sverige, Danmark, Finland og Norge følger generelt EU-rammen tæt. Håndhævelsen har indtil videre været mindre aggressiv end i Tyskland og Frankrig, men alle har velfungerende datatilsyn, der behandler klager. Norge er ikke EU-medlem, men anvender GDPR via EØS-aftalen.

Compliance-tjekliste til Joomla-websites

GDPR og cookies

• Cookiebanner, der reelt blokerer ikke-nødvendige cookies, før der gives samtykke
• Cookies inddelt i klare kategorier (nødvendige, funktionelle, analyse, marketing)
• Accepter og afvis er lige synlige — ingen dark patterns
• Logning af samtykke er aktiv — registrering af hvornår samtykke blev givet, og hvad der blev samtykket til
• Google Consent Mode v2 er konfigureret (hvis du bruger Google Analytics eller Google Ads)
• En fyldestgørende privatlivspolitik er offentliggjort og afspejler din faktiske databehandling korrekt
• En cookiepolitik er offentliggjort med præcise oplysninger om hver enkelt cookie
• En mekanisme til håndtering af de registreredes anmodninger er på plads (indsigt, sletning, berigtigelse)
• Databehandleraftaler er indgået med alle tredjepartstjenester
• En kontakt-e-mail til databeskyttelsesspørgsmål er offentliggjort på websitet

EAA og tilgængelighed

• Alle billeder har meningsfulde alt-tekster (eller tom alt-tekst for dekorative billeder)
• Farvekontrasten opfylder forholdet 4,5:1 for normal tekst og 3:1 for stor tekst
• Alle interaktive elementer kan betjenes med tastaturet alene
• Synlige fokusmarkeringer på alle interaktive elementer
• Logisk overskriftsstruktur (H1 → H2 → H3 uden spring i niveauer)
• Alle formularfelter har tilknyttede labels
• Sidens sprog er angivet i HTML-attributten lang
• Videoer har undertekster; lyd har transskriptioner
• Spring til indhold-links (skip navigation) er implementeret
• En tilgængelighedserklæring er offentliggjort med en feedbackmekanisme

Generelle juridiske sider

• Privatlivspolitik — GDPR-compliant og i overensstemmelse med din databehandling
• Cookiepolitik — konkret oversigt over cookies med formål og varighed
• Kolofon / Impressum — påkrævet i Tyskland og Østrig og anbefales for alle EU-websites
• Handelsbetingelser — hvis du sælger varer eller tjenester
• Tilgængelighedserklæring — påkrævet under EAA

Hvorfor compliance ikke er realistisk på Joomla 3

Kører dit website på Joomla 3 (eller ældre), er reel EU-compliance grundlæggende undermineret. Joomla 3 har ikke modtaget sikkerhedsopdateringer siden august 2023 — og at køre ulappet software strider mod GDPR's krav om "passende tekniske foranstaltninger". Joomla 3's template-system er ældre end de moderne tilgængelighedsstandarder, hvilket gør WCAG-overholdelse ekstremt vanskelig uden en komplet ombygning af templaten. De indbyggede privatlivsværktøjer i Joomla 5 og 6 findes slet ikke i Joomla 3.

Den mest omkostningseffektive vej til compliance er at opgradere til Joomla 5 eller 6 og implementere foranstaltningerne på den moderne platform. Vores opgraderingsydelser bygger compliance ind i selve migreringen.

Vores compliance-ydelser

Vi leverer implementering af compliance specifikt til Joomla-websites:

• GDPR og cookie-compliance — implementering og løbende overvågning
• EAA-tilgængelighedscompliance — audits, udbedring og overvågning
• Indbygning af compliance under opgraderingsprojekter — den mest effektive fremgangsmåde
• Compliance-overvågning som en del af vores vedligeholdelsesplaner

Start med et compliance-tjek

Vores gratis website-audit indeholder en compliance-vurdering, der dækker din nuværende håndtering af GDPR-cookies, dit udgangspunkt for tilgængelighed og status på dine juridiske sider. Du får et klart billede af, hvor dit Joomla-website står, og hvad der skal ændres for at leve op til EU's krav.

Få dit gratis compliance-tjek →