Hoppa till innehåll

PUB-avtal med HubSpot — CRM, Marketing Hub och GDPR

HubSpot behandlar kontaktdata, marknadsföringsaktiviteter och försäljningsdata för svenska företag. Förstå HubSpots DPA-struktur, datahanterin och de specifika GDPR-inställningarna för CRM och e-postmarknadsföring.

HubSpot är ett av de mest använda CRM- och marketingautomatiseringssystem i Sverige och används av säljdrivna företag inom B2B, SaaS och e-handel. Systemet samlar ihop kontaktdata, e-postmarknadsföring, landningssidor, formulär, webbanalys och försäljningspipelines i en plattform — vilket gör det till ett av de mer dataintensiva verktygen ur GDPR-perspektiv.

Problemet är att HubSpot är en kraftfull datainsamlingsmaskin. HubSpots spårningsskript (HubSpot Tracking Code) placeras på din webbplats och samlar in beteendedata om besökare — vilka sidor de besöker, hur länge, och om de fyller i formulär. Denna spårning är inte begränsad till kunder; den spårar alla besökare, inklusive individer som aldrig blivit leads. Det ställer krav på cookie-samtycke för HubSpot-spårningscookien (_hstc, _hssc, _hsfp).

HubSpot behandlar personuppgifter för svenska företags räkning i USA (HubSpot, Inc. är baserat i Cambridge, Massachusetts) men erbjuder EU-datalagring för Enterprise-kunder via sin Global Data Hosting and Transfer Policy. Standardkunder lagrar data i USA med SCC som skyddsåtgärd.

HubSpots DPA finns tillgängligt på legal.hubspot.com/dpa och aktiveras via HubSpot-kontots inställningar under Privacy & Consent. Det är ett standardavtal som tillämpar Googles och Microsofts modell — automatisk inkorporering via Terms of Service — men kräver explicit aktivering av privacy-inställningarna för att vara GDPR-compliant i praktiken.

Den viktigaste GDPR-risken med HubSpot för svenska företag är kombinationen av kontaktdatainsamling (via formulär, import och dataanrikning), e-postmarknadsföring (som kräver opt-in-samtycke under GDPR och LEK), och tredjepartsdatainrikting (HubSpot erbjuder integreringar med LinkedIn och Meta för annonsriktning mot leads). Varje steg kräver rätt rättslig grund och transparens.

→ Officiellt DPA-avtal från leverantören ↗

Kontrollera er compliance på några minuter

Generera ditt PUB-avtal med HubSpot gratis — GDPR Art. 28-korrekt

Kör gratis skanning

HubSpots DPA och hur det aktiveras

HubSpots Data Processing Agreement (DPA) tillhandahålls via legal.hubspot.com/dpa. För att säkerställa att DPA:n gäller din organisation:

  1. Gå till HubSpot Account Settings > Privacy & Consent
  2. Acceptera HubSpots Privacy-tilllägg (Data Processing Agreement)
  3. Ladda ner och arkivera bekräftelsen med datum
  4. Inkludera HubSpot, Inc. som personuppgiftsbiträde i din Art. 30-registerförteckning

HubSpot-spårning och cookie-samtycke

HubSpots spårningsskript sätter flera cookies:

  • _hstc (HubSpot Tracking Cookie): Identifierar besökare och spårar sessioner i 13 månader. Marknadsföringscookie — kräver samtycke.
  • _hssc: Sessionscookie för HubSpot-tracking. Kräver samtycke.
  • _hsfp: Fingerprinting-cookie för att skilja botar från besökare. Kräver samtycke.
  • hubspotutk: Kopplar en besökares beteende till ett HubSpot-kontaktkort om de fyller i ett formulär. Kräver samtycke.

Implementera HubSpots inbyggda Cookie Consent Banner (under Privacy & Consent > Cookie Policy) eller koppla HubSpot-spårningen till din befintliga CMP (OneTrust, Cookiebot, Usercentrics) via HubSpots consent API. Cookie-spårning får inte aktiveras förrän besökaren har gett samtycke.

E-postmarknadsföring och GDPR-opt-in

E-postmarknadsföring via HubSpot kräver ett av följande:

Explicit samtycke: Kontakten har aktivt opt-inat till marknadsföring via ett formulär med tydlig, specifik samtyckestext. Samtyckestexten ska inte vara förbockad, ska vara specifik om vad de samtycker till, och ska lagras med timestamp och IP-adress (HubSpot gör detta automatiskt via Consent Management).

Soft opt-in (berättigat intresse): Kontakten är en befintlig kund som köpt liknande produkter/tjänster, informerades om marknadsföring vid kontaktpunkten, och erbjuds enkel avregistrering vid varje utskick. HubSpot stödjer berättigat intresse som rättslig grund via Subscription Types — konfigurera detta under Privacy & Consent.

Användarimport: om du importerar kontakter till HubSpot från externa källor (t.ex. tidigare CRM-system, e-postlistor, mässdeltagare), måste du verifiera att varje importerad kontakt har gett ett giltigt samtycke till marknadsföring i det kanaler du planerar använda HubSpot för.

HubSpot Forms och lead capture

HubSpots formulär (inbäddade formulär, landningssideformulär, pop-up-formulär) samlar in kontaktdata och kopplar det till HubSpot CRM. GDPR kräver:

  • Tydlig privacy-text vid varje formulär med länk till integritetspolicyn
  • Separat samtyckesruta (checkbox) för marknadsföring — inte inbäddad i en generell "jag godtar villkoren"-checkbox
  • HubSpots GDPR-alternativ i formulärinställningarna: aktivera "GDPR options" under varje formulär i HubSpot för att lägga till samtyckes-checkboxar och privacy-text

HubSpot CRM och kontaktdata

HubSpot CRM lagrar kontaktdata inklusive historik, e-postkommunikation, anteckningar, delar och aktivitetslogg. Ur GDPR-perspektiv:

  • Rättslig grund för CRM-poster: avtal (om personen är en befintlig kund), berättigat intresse (om person är en lead i en B2B-process), eller samtycke (om personen opt-inat till att deras data lagras i ditt CRM).
  • Lagringstid: sätt upp HubSpots Contact Property för att flagga inaktiva kontakter och ha en rutin för radering av kontakter som inte haft aktivitet och inte har samtycke inom de senaste 12–24 månaderna.
  • Rätten till radering: HubSpot stödjer GDPR-raderingsrequests via Settings > Privacy & Consent > Forget a Contact. Dokumentera alla raderingsrequests.

HubSpot och dataöverföring till USA

HubSpot är ett amerikanskt bolag (HubSpot, Inc., Cambridge MA). Data för standardkunder lagras på servrar i USA. Skyddsåtgärd: HubSpot är certifierat under EU-US Data Privacy Framework (DPF) och tillämpar EU-kommissionens Standardavtalsklausuler (SCC) Modul 2 (Controller-to-Processor) som kompletterande skyddsåtgärd.

För Enterprise-kunder: HubSpot erbjuder EU Data Residency (Frankfurt) som alternativ — aktiveras via HubSpot Account Settings > Data Management > Data Residency. EU Data Residency innebär att kontaktdata och CRM-data lagras inom EU.

HubSpot erbjuder EU-datalagring för alla HubSpot Hubs (CRM, Marketing, Sales, Service) med data primärt hostade i Frankfurt, Tyskland. Aktivera GDPR-funktionerna i HubSpot: consent tracking per kontakt, raderingsverktyg (GDPR-delete) och automatisk loggseparation. HubSpot fungerar som personuppgiftsbiträde för CRM-data; ni som personuppgiftsansvarig är ansvariga för att registrerade contacts har gett samtycke till lagring och marknadsföring.

Integrationerna i HubSpots App Marketplace kan introducera ytterligare underbiträden – granska sub-processor-listan i HubSpots integritetspolicy och uppdatera er registerförteckning vid nya integrationer.

IMY-precedent

IMY och e-postmarknadsföring — tillsyn mot bristfällig opt-in

IMY har i tillsynsbeslut 2024–2025 granskat svenska bolag som skickat e-postmarknadsföring utan giltigt samtycke. Besluten betonade att förbockade samtyckes-checkboxar, köpta e-postlistor och marknadsföring till kontakter som enbart lämnat sin e-post för ett engångserbjudande inte uppfyller GDPR:s samtyckes krav. HubSpot-användare med importerade kontaktlistor löper störst risk.

Alla IMY-beslut

Integritetspolicy-mall för svenska företag

Vår integritetspolicy-mall täcker HubSpot, Google Analytics och andra vanliga personuppgiftsbiträden med korrekt GDPR-formulering.

Generera din integritetspolicy

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →