EU-efterlevnad för Joomla — guide till GDPR, tillgänglighetsdirektivet och ePrivacy

Om din Joomla-webbplats riktar sig till besökare inom EU måste du följa flera regelverk samtidigt — dataskyddsförordningen (GDPR), tillgänglighetsdirektivet (European Accessibility Act, EAA) och ePrivacy-direktivet. Det här är inga frivilliga riktlinjer. Det är gällande lag, med kännbara ekonomiska sanktioner i ryggen.

Den här guiden förklarar vad varje regelverk kräver, hur det gäller specifikt för Joomla-webbplatser och vad du konkret måste göra för att uppfylla kraven. Vi håller den som ett levande dokument som uppdateras i takt med att regelverken förändras och tillsynen utvecklas.

Få en kostnadsfri efterlevnadskontroll →

De tre pelarna i EU:s webbregelverk

1. GDPR — dataskydd (gäller sedan maj 2018)

Dataskyddsförordningen styr hur personuppgifter samlas in, behandlas, lagras och delas. För en Joomla-webbplats innebär det följande:

• Cookie-samtycke: Icke-nödvändiga cookies måste blockeras tills besökaren uttryckligen lämnar sitt samtycke. En banner som bara informerar räcker inte — cookies måste faktiskt hindras från att laddas.
• Integritetspolicy: Du måste ha en heltäckande och korrekt integritetspolicy som beskriver all behandling av personuppgifter, de rättsliga grunderna, lagringstiderna och de registrerades rättigheter.
• Loggning av samtycke: Du måste kunna visa att samtycke har lämnats — när det skedde, vad besökaren samtyckte till och vilken version av din integritetspolicy som gällde då.
• De registrerades rättigheter: Besökare kan begära att få ut sina uppgifter, få dem raderade, rättade eller överförda. Du måste ha rutiner för att hantera dessa begäranden.
• Personuppgiftsbiträdesavtal: Om du använder tredjepartstjänster som behandlar personuppgifter (analys, e-postmarknadsföring, betalleverantörer) måste du ha personuppgiftsbiträdesavtal på plats.
• Google Consent Mode v2: Om du använder Googles tjänster (Analytics, Ads) måste Consent Mode v2 vara implementerat så att samtyckesstatusen kommuniceras till Google.

Sanktioner: Upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst.

Vår tjänst för GDPR-efterlevnad i Joomla →

2. Tillgänglighetsdirektivet (gäller sedan juni 2025)

EAA kräver att webbplatser som erbjuder varor och tjänster inom EU är tillgängliga för personer med funktionsnedsättning och uppfyller WCAG 2.1 nivå AA (via den europeiska standarden EN 301 549).

• Vem omfattas: Företag som erbjuder produkter eller tjänster till konsumenter i EU (med begränsade undantag för mikroföretag)
• Vad som krävs: Webbinnehåll som är möjligt att uppfatta, hantera, förstå och som är robust — bland annat korrekt alt-text, färgkontrast, tangentbordsnavigering, märkning av formulär, rubrikstruktur och kompatibilitet med hjälpmedel
• Tidsfrister: Nytt innehåll måste uppfylla kraven sedan juni 2025. Allt befintligt innehåll måste uppfylla kraven senast i juni 2030.
• Tillgänglighetsutlåtande: Din webbplats måste publicera ett utlåtande som beskriver hur väl den uppfyller kraven och som erbjuder en kanal för återkoppling

Sanktioner: Varierar mellan medlemsländerna — upp till 100 000 euro eller 4 % av årsintäkterna i vissa länder.

Vår tjänst för EAA-efterlevnad i Joomla →

3. ePrivacy-direktivet (cookielagen)

ePrivacy-direktivet är äldre än GDPR och reglerar specifikt elektronisk kommunikation, däribland cookies och spårningsteknik. GDPR utgör det breda ramverket, medan ePrivacy-direktivet innehåller specifika regler om när samtycke krävs för cookies och hur elektronisk marknadsföring ska hanteras.

I praktiken överlappar GDPR och ePrivacy varandra i hög grad när det gäller cookies. Den striktaste tolkningen — och den säkra — kräver uttryckligt aktivt samtycke (opt-in) innan några icke-nödvändiga cookies sätts, med möjlighet att tacka nej lika enkelt som att tacka ja.

En ny ePrivacy-förordning har varit under utarbetande i flera år och kommer så småningom att ersätta direktivet. Tills den är färdigställd gäller det nuvarande direktivet, kompletterat av GDPR:s samtyckeskrav.

Landspecifika krav

GDPR utgör det EU-gemensamma ramverket, men de enskilda medlemsländerna tillämpar det olika och har lagt till egna krav. Här är de viktigaste skillnaderna för de länder vi arbetar mest med:

Tyskland (DSGVO)

Tyskland har EU:s striktaste tolkning av GDPR:s krav på cookie-samtycke. Förbundsdomstolen (Bundesgerichtshof) har slagit fast att samtycke måste lämnas frivilligt och utan förkryssade rutor. Alternativet "avvisa alla" måste vara lika tydligt och lättåtkomligt som "acceptera alla". De tyska dataskyddsmyndigheterna (var och en av de 16 delstaterna har sin egen) hör till de mest aktiva i tillsynen. Webbplatser som riktar sig till tyska användare måste dessutom tillhandahålla ett Impressum (juridisk information) enligt TMG §5.

Frankrike (RGPD)

CNIL (Commission Nationale de l'Informatique et des Libertés) har publicerat specifika riktlinjer för cookie-banners. Alternativet att avvisa måste vara lika lättåtkomligt som alternativet att acceptera — inga dark patterns som gömmer avvisningsfunktionen bakom extra klick. CNIL har utfärdat kännbara böter mot stora företag för överträdelser kring cookie-samtycke.

Nederländerna

Den nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens) är en av de mest proaktiva tillsynsmyndigheterna i Europa. De har prioriterat efterlevnaden av cookie-samtycke och utreder regelbundet inkomna klagomål. Nederländerna tillämpar en strikt tolkning av samtyckeskraven.

Italien

Den italienska dataskyddsmyndigheten (Garante) har specifika krav på information om cookies och har gett ut riktlinjer för hur cookie-information ska utformas. De italienska reglerna ställer särskilda krav på analytiska cookies som går längre än det allmänna GDPR-ramverket.

Spanien (LOPDGDD)

Spaniens organiska dataskyddslag kompletterar GDPR med ytterligare bestämmelser. Den spanska dataskyddsmyndigheten (AEPD) har blivit allt mer aktiv i tillsynen av cookie-samtycke.

Norden

Sverige, Danmark, Finland och Norge följer i stort sett EU:s ramverk tätt. Tillsynen har hittills varit mindre offensiv än i Tyskland eller Frankrike, men samtliga länder har fungerande dataskyddsmyndigheter som hanterar klagomål. Norge är inte EU-medlem men tillämpar GDPR genom EES-avtalet.

Efterlevnadschecklista för Joomla-webbplatser

GDPR och cookies

• Cookie-banner som verkligen blockerar icke-nödvändiga cookies innan samtycke lämnas
• Cookies indelade i tydliga kategorier (nödvändiga, funktionella, analys, marknadsföring)
• Alternativen acceptera och avvisa lika tydliga — inga dark patterns
• Samtyckesloggning aktiv — uppgifter om när samtycke lämnades och vad det omfattade
• Google Consent Mode v2 konfigurerat (om du använder Google Analytics eller Google Ads)
• Heltäckande integritetspolicy publicerad som korrekt speglar din behandling av personuppgifter
• Cookiepolicy publicerad med specifika uppgifter om varje cookie som används
• Rutin för registrerades begäranden på plats (för åtkomst, radering och rättelse)
• Personuppgiftsbiträdesavtal på plats med alla tredjepartstjänster
• Kontaktadress för dataskyddsfrågor publicerad på webbplatsen

EAA och tillgänglighet

• Alla bilder har meningsfull alt-text (eller tom alt för dekorativa bilder)
• Färgkontrasten uppfyller 4,5:1 för normal text och 3:1 för stor text
• Alla interaktiva element går att hantera enbart med tangentbord
• Synliga fokusmarkeringar på alla interaktiva element
• Logisk rubrikstruktur (H1 → H2 → H3, inga överhoppade nivåer)
• Alla formulärfält har kopplade etiketter
• Sidans språk angivet i HTML-attributet lang
• Videor har undertexter och ljud har transkriptioner
• Länkar för att hoppa över navigeringen implementerade
• Tillgänglighetsutlåtande publicerat med kanal för återkoppling

Allmänna juridiska sidor

• Integritetspolicy — GDPR-förenlig och korrekt utifrån din behandling av personuppgifter
• Cookiepolicy — specifik förteckning över cookies med syften och lagringstider
• Imprint/Impressum — krävs i Tyskland och Österrike och rekommenderas för alla EU-webbplatser
• Allmänna villkor — om du säljer varor eller tjänster
• Tillgänglighetsutlåtande — krävs enligt EAA

Varför efterlevnad på Joomla 3 inte är genomförbart

Om din webbplats körs på Joomla 3 (eller äldre) är genuin EU-efterlevnad i grunden underminerad. Joomla 3 har inte fått några säkerhetsuppdateringar sedan augusti 2023 — att köra opatchad programvara strider mot GDPR:s krav på "lämpliga tekniska åtgärder". Joomla 3:s mallsystem är äldre än de moderna tillgänglighetsstandarderna, vilket gör WCAG-efterlevnad extremt svår utan en fullständig ombyggnad av mallen. De inbyggda integritetsverktyg som finns i Joomla 5 och 6 existerar inte i Joomla 3.

Den mest kostnadseffektiva vägen till efterlevnad är att uppgradera till Joomla 5 eller 6 och införa efterlevnadsåtgärderna på den moderna plattformen. Våra uppgraderingstjänster bygger in efterlevnaden i migreringsprocessen.

Våra efterlevnadstjänster

Vi tillhandahåller efterlevnadsimplementering specifikt för Joomla-webbplatser:

• GDPR- och cookie-efterlevnad — implementering och löpande övervakning
• EAA-tillgänglighetsefterlevnad — granskningar, åtgärdande och övervakning
• Inbyggd efterlevnad under uppgraderingsprojekt — det mest effektiva tillvägagångssättet
• Övervakning av efterlevnad som en del av våra underhållsplaner

Börja med en efterlevnadskontroll

Vår kostnadsfria webbplatsgranskning omfattar en efterlevnadsbedömning som täcker din nuvarande hantering av GDPR-cookies, din tillgänglighetsnivå och statusen för dina juridiska sidor. Du får en tydlig bild av var din Joomla-webbplats står och vad som behöver ändras för att uppfylla EU:s krav.

Få din kostnadsfria efterlevnadskontroll →