Hoppa till innehåll
Skanningsmetodologi

Hur Northverify analyserar
din webbplats

En transparent genomgång av vad vi skannar, hur vi bedömer allvarlighetsgrad, vad Trust Score faktiskt mäter och var gränserna för automatiserad teknisk analys går.

26Scanners
10Kategorier
200+Kontrollpunkter
Enbart publika sidor
Senast uppdaterad: 2026-05-26

1. Vad Northverify skannar

Northverify utför tekniska webbplatskontroller på publikt tillgängliga HTTP-resurser. Skanningen initieras av en server i EU (Hetzner, Nürnberg) som agerar som en vanlig webbläsare eller HTTP-klient.

Vi analyserar HTML-innehåll, HTTP-svarshuvuden, JavaScript-resurser, DNS-records, TLS-konfiguration och cookie-beteende — allt sådant som är synligt utan inloggning eller annan autentisering.

Vi skannar

  • Publikt tillgängliga HTML-sidor
  • HTTP-svarshuvuden (headers)
  • DNS-records (DMARC, SPF, DKIM, CAA)
  • TLS/SSL-certifikat och konfiguration
  • JavaScript-resurser och tredjepartsskript
  • Cookie-beteende (pre/post-consent)
  • Sidinnehåll: bilder, formulär, länkar, meta-taggar
  • robots.txt och sitemap.xml

Vi skannar inte

  • Inloggningsskyddade sidor eller API:er
  • Interna system, backend-logik eller databaser
  • Besökardata eller sessionsdata
  • E-postkommunikation
  • Interna dokument eller processer
  • Fysisk infrastruktur
  • Affärsprocesser och interna rutiner
  • Anställdas enheter eller nätverk

NorthverifyBot/1.0 identifierar sig i User-Agent-strängen, respekterar robots.txt och crawl-delay-direktiv, och följer god sed för automatiserade webbskanners. Skanningen riktar sig mot den URL du anger och ett begränsat antal underpaginator — beroende på plan.

2. Kategorier och kontrollpunkter

Varje skanning täcker alla 10 kategorier automatiskt. Nedan beskrivs vad varje kategori kontrollerar och ger exempel på typiska fynd.

1. Säkerhet

TLS/SSL-version, cipher suites, certifikatets giltighet och CAA-records. HTTP-säkerhetsheaders (HSTS, CSP, X-Frame-Options, Permissions-Policy, Referrer-Policy). Exponerade admin-paneler, kataloger och filer. OWASP Top 10-signaler via Nuclei.

Exempelfynd

  • Saknad HSTS-header
  • TLS 1.0/1.1 fortfarande aktiverat
  • Exponerad .git-katalog
  • Sårbara JS-bibliotek (Retire.js)
2. GDPR

Närvaro och kvalitet på integritetspolicy (URL, tillgänglighet, nyckelrubriker). Samtyckesbanner innan icke-nödvändiga cookies sätts. Formulärens samtyckestext. Synliga tredjepartsskript som kan innebära dataöverföring utanför EU.

Exempelfynd

  • Cookies sätts innan samtycke
  • Integritetspolicylänk saknas i footer
  • Google Analytics utan anonymisering
  • Kontaktformulär utan GDPR-text
3. ePrivacy

Cookie-inventering och klassificering (nödvändig, funktionell, analytisk, marknadsföring). Fingerprinting-signaler. Consent-UX-kvalitet (avvisa-knappens synlighet, förvald opt-in). Spårpixlar och sessionsinspelning.

Exempelfynd

  • Marknadsföringscookies utan samtycke
  • Inga avvisa-alternativ i banner
  • Meta Pixel laddas pre-consent
  • Hotjar session recording aktiv
4. Svensk lagstiftning

Generella krav för svenska hemsidor: organisationsnummer synligt, F-skattsedel, kontaktinformation. Signaleringsregler för branscher (finansiell rådgivning, hälsa m.fl.). LEI och Bolagsverket-uppslag.

Exempelfynd

  • Organisationsnummer saknas
  • Ingen kontaktadress synlig
  • Bolagsnamn stämmer inte med registret
5. E-handelsrätt

Distansavtalslagen (ångerrätt 14 dagar, ångerblankett, leveranstid, prisinformation inkl. moms). ODR-länk (EU-krav). ARN-hänvisning. Betalningsmetoder synliga. Köpvillkor tillgängliga.

Exempelfynd

  • Ångerblankett saknas
  • Priset visas utan moms
  • ODR-länk saknas i footer
  • Leveranstid inte angiven
6. Tillgänglighet

axe-core-analys mot WCAG 2.1 AA: färgkontrast, alt-texter, rubrikstruktur, formuläretiketter, tangentbordsnavigering, ARIA-roller. Lighthouse Accessibility-poäng. EAA-relevanta signaler.

Exempelfynd

  • Kontrast under 4.5:1
  • Bilder utan alt-text
  • Formulär utan etiketter
  • Fokus syns inte vid tangentbordsnavigering
7. Prestanda

Lighthouse Core Web Vitals: LCP, INP, CLS, FCP, TTFB. Sidstorlek, bildoptimering, komprimering (gzip/brotli), caching-headers, renderingsblockerande resurser, CDN-tecken.

Exempelfynd

  • LCP över 4 sekunder
  • Bilder utan lazy-loading
  • Ingen gzip-komprimering
  • Renderingsblockerande CSS/JS
8. SEO

On-page: title-tag, meta description, H1-struktur, canonical, hreflang, JSON-LD structured data, Open Graph. Teknisk: robots.txt, sitemap.xml, noindex-signaler, crawlbarhet.

Exempelfynd

  • Saknad meta description
  • Dubbletter av H1
  • Sitemap.xml saknas
  • Noindex på hela sajten
9. Best practices

HTTPS-redirect, console-fel, blandad HTTP/HTTPS-innehåll, föråldrade bibliotek, saknad favicon, Cross-Origin-headers, felaktiga MIME-typer.

Exempelfynd

  • HTTP-sidorna redirectar inte
  • Blandad HTTP/HTTPS-innehåll
  • Console-fel
  • jQuery 1.x i produktion
10. PCI DSS-signaler

Tekniska indikationer relevanta för kortbetalning: TLS-version, inbäddade betalformulär utan extern redirect, exponerade kortdata-endpoints, sårbara bibliotek i checkoutflöden.

Exempelfynd

  • TLS 1.0 på kassasida
  • Kortformulär utan iframe-isolering
  • Betalendpoint exponerad utan autentisering

3. Vad som är publikt observerbart

Northverify analyserar enbart sådant som är synligt för en vanlig oinloggad webbläsare — samma information som Googles crawler, en potentiell angripare eller en tillsynsmyndighet skulle se. Det är en styrka och en begränsning på samma gång.

Styrka: realistisk angriparbild

Det du kan hitta utan inloggning är precis vad en opportunistisk angripare eller tillsynsmyndighet ser. Att åtgärda publikt observerbara brister är ofta det effektivaste sättet att reducera faktisk risk.

Begränsning: inget innuti

Vi kan inte se vad som händer bakom inloggning, i era interna system, i backend-flöden eller i era databaser. En tekniskt ren publik yta garanterar inte att interna processer uppfyller lagens krav.

Northverify kontrollerar compliance-beredskaps­signaler — inte faktisk rättslig efterlevnad. Att inga fynd genereras i en kategori innebär att inga tekniska signaler hittades, inte att verksamheten är juridiskt korrekt.

4. Hur allvarlighetsgrad bedöms

Varje fynd tilldelas en av fem allvarlighetsgrader baserat på en kombination av regelverkets krav, branschpraxis och det tekniska fyndets karaktär. Bedömningen är automatiserad och bör ses som en indikation — inte en formell riskbedömning.

Kritisk

Hög sannolikhet att utgöra ett omedelbart lagligt, säkerhetsmässigt eller dataskyddsrelaterat problem. Bör åtgärdas snarast.

Hög

Tydlig signal om risk eller bristande efterlevnad. Bör granskas och åtgärdas inom kort.

Medium

Förbättring rekommenderas. Kan indikera risk beroende på kontext — bör granskas.

Låg

Mindre avvikelse eller best-practice-gap. Lägre prioritet men värd att åtgärda över tid.

Info

Observationsinformation. Kräver ingen åtgärd men kan vara relevant beroende på situation.

Allvarlighetsgraden baseras på:

  • Regelverkets direkta krav (t.ex. GDPR Art. 5, ePrivacy-direktivet, distansavtalslagen)
  • Sannolikhet för skada vid faktisk exploatering av en säkerhetssvaghet
  • Branschkonsensus (OWASP, CVSS, Mozilla Observatory)
  • Historisk tillsynspraxis från Datainspektionen/IMY och liknande myndigheter

Allvarlighetsgraden är ett automatiserat estimat och kan inte ersätta en manuell riskbedömning i er specifika kontext. Samma tekniska fynd kan ha olika rättslig tyngd beroende på bransch, behandlingens natur och era befintliga skyddsåtgärder.

5. Hur Trust Score fungerar

Trust Score är ett sammansatt mått (0–100) som ger en snabb indikation på webbplatsens tekniska compliance-beredskap. Det är ett verktyg för prioritering och trendspårning — inte ett certifieringsutlåtande.

Så beräknas poängen

  • Varje fynd reducerar poängen med ett viktbaserat avdrag beroende på allvarlighetsgrad — kritiska fynd väger tyngst.
  • Kategorier bidrar med delpoäng. En kategori utan fynd ger full poäng; fynd reducerar delpoängen.
  • Kategorivikterna är inte jämt fördelade — GDPR, säkerhet och ePrivacy väger tyngre än t.ex. SEO.
  • Slutpoängen beräknas och lagras av backend — den räknas aldrig om i webbläsaren.
80–100

Få eller inga kritiska fynd. Bra teknisk utgångspunkt.

50–79

Tydliga förbättringsområden. Åtgärder bör prioriteras.

0–49

Flera kritiska fynd. Omgående granskning rekommenderas.

Trust Score mäter tekniska compliance-beredskaps­signaler och garanterar inte rättslig efterlevnad. En webbplats med 90 poäng kan fortfarande ha brister i interna processer, avtal eller dokumentation. Poängen ska inte presenteras som ett bevis på GDPR-compliance eller säkerhetscertifiering.

6. Vad som kräver manuell granskning

Automatiserade tekniska kontroller kan inte ersätta mänsklig bedömning i följande situationer. Northverify kan signalera att något bör ses över — men kan inte avgöra det rättsliga utfallet.

Integritetspolicyns juridiska korrekthet

Vi kan kontrollera att en policy finns och att den innehåller nyckelrubriker — men inte om formuleringarna är juridiskt korrekta för er behandling.

Konsekvensbedömning av dataskydd (DPIA)

DPIA är en formell process som kräver insyn i era interna system, behandlingsändamål och befintliga skyddsåtgärder — inte möjlig att automatisera.

Personuppgiftsbiträdesavtal (PUB-avtal)

Vi kan identifiera tredjepartsleverantörer men inte verifiera om giltiga PUB-avtal finns med dem.

Rättslig grund för behandling

Om er behandling baseras på samtycke, berättigat intresse eller avtal är en juridisk bedömning — vi kan kontrollera tekniska samtyckes­signaler men inte bedöma rättslig grund.

Tillgänglighet för komplexa interaktioner

axe-core täcker automatiserbara WCAG-kriterier. Ungefär 40% av WCAG-kriterier kräver manuell testning — inklusive kognitiv tillgänglighet och komplexa interaktionsmönster.

Branschspecifika krav

Finans, hälsa, skola och offentlig sektor har ytterligare krav utöver det Northverify täcker. Rådfråga en specialist inom din bransch.

7. Vad Northverify inte ersätter

Northverify är ett tekniskt screeningverktyg. Det är konstruerat för att vara det första filtret — inte den sista instansen. Nedanstående kan inte ersättas av automatiserade webbplatskontroller:

Juridisk rådgivning

Northverify ger teknisk analys — inte juridisk rådgivning. Fynden kan indikera risk men är inte ett juridiskt utlåtande. Konsultera en advokat eller dataskyddsombud för formella frågor.

GDPR-certifiering eller officiell revision

Northverify är inte ett certifieringsorgan. Vi utfärdar inga certifikat, compliance-intyg eller revisionsberättelser. Trust Score är ett tekniskt mätvärde, inte ett bevis på rättslig efterlevnad.

Penetrationstest

Northverify identifierar publikt observerbara sårbarheter. Ett formellt pentest av certifierad testare täcker autentiserade endpoints, komplex applikationslogik och aktiv exploatering — nödvändigt för NIS2, ISO 27001 och liknande.

Intern processgranskning

GDPR-efterlevnad handlar till stor del om interna processer: personuppgiftsförteckning, utbildning, incidenthantering, lagringstider och avtal med leverantörer. Det är utanför räckvidden för webbplatsskanning.

Tillgänglighetsrevision enligt EAA

Europas tillgänglighetslag kräver i många fall en formell revision av en ackrediterad specialist. Northverify ger tekniska signaler men är inte ett substitut för EAA-certifiering.

8. Skillnaden mot andra verktyg och processer

Northverify är ett komplement till — inte en ersättning för — juridisk rådgivning, pentesting, CMP och dedikerade SEO-plattformar. Nedan beskrivs vad varje kategori faktiskt gör och var respektive passar in.

Northverify

Northverify — det här är vi

Automatisk teknisk webbplatskontroll — compliance-beredskaps­signaler för GDPR, säkerhet, tillgänglighet, SEO och e-handelsrätt. Publika sidor. Inga certifieringar.

Gör

  • Skannar publika HTTP-sidor och headers
  • Identifierar tekniska risksignaler
  • Ger konkreta åtgärdsförslag
  • Spårar förändringar över tid

Gör inte

  • Juridisk rådgivning
  • Certifieringsutlåtanden
  • Intern processgranskning
  • Autentiserade sidor

Juridisk granskning

En jurists genomgång av avtal, integritetspolicyer, GAP-analyser och formella GDPR-processer. Nödvändig för DPA-avtal, DPIAs, tvistlösning och officiella utlåtanden.

Gör

  • Tolkar och tillämpar lag
  • Skriver avtal och policyer
  • Bedömer rättslig risk formellt
  • Ger certifierbara utlåtanden

Gör inte

  • Automatiserade tekniska kontroller
  • Realtidssignaler
  • Kontinuerlig bevakning
  • Täcker hela teknikstacken

Penetrationstest

Manuell eller semi-manuell säkerhetsgranskning av en certifierad testare — utnyttjar faktiska sårbarheter i autentiserade flöden, API:er och backend-logik. För djupare säkerhetsgranskning.

Gör

  • Testar autentiserade endpoints
  • Utnyttjar faktiska sårbarheter
  • Granskar backend-logik
  • Producerar formellt pentestintyg

Gör inte

  • Täcker GDPR/ePrivacy
  • Täcker SEO eller tillgänglighet
  • Automatiseras enkelt
  • Realtidsbevakning

Consent Management Platform

CMP (t.ex. Cookiebot, OneTrust, Usercentrics) hanterar cookie-samtycke i realtid för besökare. Det samlar in, lagrar och visar samtycke. Northverify kontrollerar om en CMP är korrekt konfigurerad.

Gör

  • Samlar in samtycke från besökare
  • Lagrar samtycken
  • Blockerar script pre-consent
  • Ger IAB TCF-kompatibilitet

Gör inte

  • Kontrollerar om CMP:n är korrekt konfigurerad
  • Skannar övriga compliance-kategorier
  • Identifierar tekniska säkerhetsrisker

SEO-plattform

Verktyg som Ahrefs, Semrush eller Google Search Console fokuserar på sökmotorsynlighet: ranking, backlinks, crawl-budget, indexering och trafiktrender. Northverify inkluderar teknisk SEO som en av tio kategorier.

Gör

  • Backlink-analys
  • Ranking-spårning
  • Konkurrentanalys
  • Crawl-budget-optimering

Gör inte

  • GDPR/ePrivacy-kontroller
  • Säkerhetsheaders
  • Tillgänglighetsbedömning
  • Juridisk lagstiftningskontroll

9. Varför kontinuerlig bevakning spelar roll

En engångsskanning ger en ögonblicksbild. Webbplatser förändras kontinuerligt — varje deploy, plugin-uppdatering, tredjepartsskript och DNS-ändring kan introducera nya risker.

Nya tredjepartsskript

En marknadsförare lägger till ett spårpixel direkt i CMS:et — ingen kodgranskning, ingen samtyckes­konfiguration. Nästa dags skanning flaggar det.

Certifikat och TLS-konfiguration

SSL-certifikat glöms förnyas, TLS-konfigurationer ändras av hosting-leverantörer, HSTS-policyer tas bort av misstag vid migrationer.

SEO-regressioner

En deploy råkar sätta noindex på hela sajten — en vanlig olycka. Schemalagd skanning fångar det innan organisk trafik försvinner.

Cookie-beteendeförändringar

CMP-integrationer slutar fungera, A/B-testverktyg börjar sätta cookies pre-consent, plugin-uppdateringar introducerar ny spårning.

Skanningsintervall per plan

Free
Manuella skanningar
Pro
Schemalagda vecko­skanningar
Business
Schemalagda dygns­skanningar
Se alla plan och priser

10. Hur du tolkar resultaten

Resultaten är avsedda att ge dig ett faktaunderlag för prioritering — inte en fullständig bild av er rättsliga ställning. Här är praktiska riktlinjer för hur du läser rapporten.

01

Börja med kritiska fynd

Kritiska fynd har hög sannolikhet att utgöra ett faktiskt problem — adressera dessa innan allt annat. Varje kritiskt fynd har en konkret åtgärd (kod, DNS-värde, CMS-inställning) och en länk till officiell dokumentation.

02

Förstå kontexten för varje fynd

Varje fynd innehåller bevisdata — exakt vilken header, cookie, URL eller tag som orsakade fyndet. Det gör att ni kan verifiera resultatet och delegera rätt åtgärd till rätt person (utvecklare, marknadsförare, jurist).

03

Inga fynd ≠ inga problem

Om en kategori inte genererar fynd betyder det att inga tekniska signaler hittades på de skannade sidorna — inte att ni är juridiskt korrekta. Northverify kontrollerar compliance-beredskaps­signaler, inte faktisk rättslig efterlevnad.

04

Använd rapporten som underlag — inte som slutsats

Rapporten lämpar sig väl att dela med en jurist, DPO eller säkerhetskonsult som startpunkt. Den ger en teknisk bild som specialisten kan komplettera med juridisk bedömning och insyn i era interna processer.

05

Spåra trender, inte bara ögonblicksbilder

En enstaka poäng säger begränsat. Trenden över tid — förbättras poängen efter åtgärder, håller sig stabil efter uppdateringar — ger ett mycket mer informativt underlag för intern rapportering och styrelsekommunikation.

Viktig ansvarsbegränsning

Northverify tillhandahåller tekniska webbplatskontroller och compliance-beredskaps­signaler — inte juridisk rådgivning. Resultaten utgör inte ett juridiskt utlåtande, en certifiering eller ett revisionsutlåtande. Northverify garanterar inte att en webbplats som uppnår högt Trust Score uppfyller alla tillämpliga lagar. Använd resultaten som ett tekniskt underlag och komplettera alltid med rådgivning från kvalificerade jurister och specialister för formella compliance-frågor. Northverify är en tjänst från Swe1 AB och är inte ett certifieringsorgan.

Kör en gratis skanning

Inga kreditkort, ingen registrering.

Skanna nu

Se en exempelrapport

Se hur en rapport ser ut innan du skannar.

Visa rapport

Relaterade sidor

Trust CenterPriser och planerGratis verktygUnderbiträdenSäkerhetspolicyKunskapsbasFAQExempelrapport
GDPR-guide för Sverige
Vilka GDPR-krav gäller för din webbplats?
Cookie compliance-guide
Allt om cookies, samtycke och ePrivacy.
EAA tillgänglighetsguide
Europas tillgänglighetslag och WCAG 2.1.
E-postautentisering
DMARC, SPF och DKIM förklarade.
Frågor om metodologin? Hör av dig till support@northverify.com