Webbplats compliance-checklista 2026: alla krav på ett ställe
Senast uppdaterad: 2026-05-22
Att hålla koll på alla lagar och krav som gäller för en svensk webbplats 2026 är komplext. GDPR, cookies, NIS2, EAA/WCAG, distansavtalslagen, marknadsföringslagen — listan är lång och lagstiftningen rörlig. Den här checklistan samlar alla krav på ett ställe, uppdelat i fem kategorier.
Varje kategori har dels en snabb teknisk check du kan köra automatiskt, dels en manual granskning av juridiska och innehållsmässiga krav.
Hur använder du checklistan? Bocka av vad som är klart. Skapa uppgifter för det som saknas. Kör en automatiserad teknisk skanning för att täcka merparten av de tekniska punkterna på 60 sekunder — rapporten identifierar exakt vilka brister som finns och prioriterar dem efter risk.
Kategori 1: GDPR och personuppgifter
Tekniska krav
- HTTPS med giltigt SSL-certifikat — kontrollera gratis
- Ingen tracking-kod laddas innan samtycke (Google Analytics, Meta Pixel, Hotjar, etc.)
- Formulärdata skickas krypterat (HTTPS)
- Inga inloggningsuppgifter eller betaldata lagras i klartext
- E-postleverantören har DMARC, SPF och DKIM konfigurerat — kontrollera gratis
Juridiska och innehållsmässiga krav
- Integritetspolicy finns och är länkad i sidfoten
- Integritetspolicyn täcker alla obligatoriska element (Art. 13–14): ändamål, rättslig grund, mottagare, lagringstid, rättigheter
- Rättslig grund är definierad för varje behandlingsaktivitet
- Länk till integritetspolicyn finns i närheten av varje formulär
- Registerförteckning (Art. 30) finns internt
- PUB-avtal finns med alla underbiträden (Google, Mailchimp, CRM, etc.)
- Ingen data överförs till tredjeländer utan SCC eller annat skydd
- Rutin för att hantera rättighetsförfrågningar (tillgång, radering, portabilitet) finns
- Rutin för incidentrapportering till IMY inom 72 timmar finns
Kategori 2: Cookies och ePrivacy (LEK)
Tekniska krav
- CMP (Consent Management Platform) är installerat och konfigurerat
- Inga cookies sätts före aktivt samtycke — verifiera med cookie-scanner
- "Neka alla"-knappen är lika framträdande som "Acceptera alla"
- Inga förinbockade rutor för icke-nödvändiga cookies
- Inbäddade iframe-tjänster (YouTube, Google Maps, Calendly) blockeras till samtycke
- Samtycke sparas och kan bevisas
Juridiska och innehållsmässiga krav
- Cookiepolicy finns och är länkad i footer och cookie-bannern
- Cookiepolicyn listar alla cookies med namn, syfte, leverantör och lagringstid
- Besökaren kan ändra samtycke när som helst (t.ex. länk i footer)
- Cookie-bannern förklarar vad samtycket innebär på begriplig svenska
Kategori 3: Säkerhet
Tekniska krav
- HSTS-header är aktiverad (HTTP Strict Transport Security)
- Content Security Policy (CSP) är definierad
- X-Frame-Options eller frame-ancestors i CSP förhindrar clickjacking
- Referrer-Policy header är konfigurerad
- Permissions-Policy header begränsar webbläsarfunktioner
- HTTP → HTTPS redirect är konfigurerad
- Inga känsliga filer exponerade (.env, .git, backup-filer, phpinfo)
- WordPress, plugins och teman är uppdaterade (om CMS används)
- Inga sårbara JavaScript-bibliotek med kända CVE:er
E-postautentisering
- SPF-record är publicerat och korrekt
- DKIM är aktiverat för alla e-posttjänster
- DMARC-policy är publicerad (mål: p=reject)
- MTA-STS är konfigurerat (valfritt men rekommenderat)
Kategori 4: Tillgänglighet (WCAG 2.1 AA / EAA)
Tillgänglighetslagen (LPTT) trädde i kraft 28 juni 2025 och kräver WCAG 2.1 AA för digital handel. PTS är tillsynsmyndighet.
Tekniska krav
- Alla bilder har meningsfull alt-text (eller tom alt="" för dekorativa bilder)
- Färgkontrast möter WCAG AA: ≥4,5:1 för text, ≥3:1 för stora rubriker
- Alla formulärfält har kopplade `<label>`-element
- Hela sajten kan navigeras med enbart tangentbord (Tab, Enter, Escape)
- Fokusordning är logisk och synlig
- ARIA-attribut används korrekt (inte för att dölja innehåll)
- Video har undertexter, ljud har textbeskrivning
- Sidan fungerar vid 200 % textzoom utan horisontell scroll
- Inga autouppspelande ljud längre än 3 sekunder utan kontroll
Juridiska och innehållsmässiga krav
- Tillgänglighetsredogörelse publiceras (krävs för offentliga organ och e-handel)
- Kontaktväg för tillgänglighetssynpunkter finns
- Tillgänglighetsredogörelsen uppdateras vid större förändringar
Kategori 5: E-handelsrätt (gäller sajter som säljer på distans)
Distansavtalslagen (SFS 2005:59)
- Fullständig information om företaget ges innan köp: namn, adress, e-post, telefon, orgnr
- Varans/tjänstens alla egenskaper beskrivs tydligt
- Totalpris inkl. moms, frakt och avgifter visas tydligt
- Betalningsvillkor, leveransvillkor och leveranstid framgår
- 14-dagars ångerrätt informeras om tydligt
- Ångerblankett finns och är lättillgänglig (gärna länkad från footer)
- Information om undantag från ångerrätten (t.ex. digitalt innehåll) ges
- Orderbekräftelse skickas omedelbart med fullständiga avtalsvillkor
E-handelslagen (SFS 2002:562)
- Företagets fullständiga namn och organisationsnummer framgår på sajten
- Geografisk adress (ej enbart postbox) anges
- E-postadress för kontakt finns
- F-skatteregistrering och momsregistrering anges om tillämpligt
Prisinformationslagen (SFS 2004:347)
- Priser inkluderar moms för konsumenter
- Exklusive moms visas tydligt för B2B
- Jämförpriser (kr/kg, kr/l) visas för dagligvaror
- Priset gäller-perioden framgår för tillfälliga erbjudanden
ODR och ARN
- Länk till EU:s ODR-plattform (ec.europa.eu/consumers/odr) finns
- Information om möjligheten att vända sig till ARN (Allmänna reklamationsnämnden) ges
Kategori 6: SEO och teknisk prestanda
Teknisk SEO påverkar synligheten — men också hur Google bedömer sajten ur säkerhets- och UX-perspektiv.
- Varje sida har unik `<title>` (max 60 tecken) och `<meta name="description">` (max 155 tecken)
- Exakt en `<h1>` per sida
- Canonical URL är definierad på varje sida
- robots.txt finns och är korrekt konfigurerad
- sitemap.xml finns och är submittad till Google Search Console
- Inga 404-fel på viktiga sidor (kontrollera GSC)
- Core Web Vitals: LCP under 2,5s, CLS under 0,1, INP under 200ms
- Bilder är optimerade (WebP/AVIF, rätt storlek, lazy loading)
- Open Graph och Twitter Card-taggar finns
- hreflang är korrekt satt om sajten är flerspråkig
Prioriteringsordning för en ny sajt
Om du börjar från noll eller gör en fullständig genomgång rekommenderar vi denna ordning baserat på bötesrisk och implementationshastighet:
- HTTPS och SSL (30 min, hög risk utan)
- Cookie-banner och samtycke (2–4 h, IMY-tillsyn)
- Integritetspolicy (2–4 h med mall)
- DMARC och SPF (1–2 h, phishing-skydd)
- Säkerhetsheaders (1 h om du har serverstyrning)
- Footer-krav och företagsinformation (30 min)
- Tillgänglighetsbrister — de enklaste (1–2 dagar)
- Ångerrätt och köpflöde (om e-handel)
Kör en automatiserad skanning för att direkt se vilka tekniska punkter som saknas — rapporten prioriterar efter risk och ger konkreta åtgärdsförslag.
Skanna din webbplats — gratis
Northverify hittar GDPR-, säkerhets- och tillgänglighetsproblem på 60 sekunder. Inget konto krävs för att köra första skanningen.
Kör en gratis scanRelaterade artiklar
GDPR-checklista för småföretag 2026: 40 konkreta krav för din hemsida
Komplett GDPR-checklista för svenska småföretag: webbplats, cookies, integritetspolicy, formulär, anställda och leverantörsavtal. 40 kontrollpunkter med åtgärder.
Cookie banner enligt GDPR 2026 — IMY:s krav, dark patterns och färdiga exempel
Komplett guide till GDPR-kompatibla cookie banners för svenska webbplatser. IMY:s 2025-tillsyn mot ATG, Aller Media och Warner Music, dark patterns att undvika, LEK-krav, och konkreta exempel på korrekt design.
EAA i Sverige 2026: Tillgänglighetslagen, vem omfattas och vad du måste göra
Komplett guide till tillgänglighetslagen LPTT som trädde i kraft 28 juni 2025. WCAG 2.1 AA-krav, sanktioner upp till 10 MSEK, praktisk checklista.