Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 1-2 h
Cookies och spårare före samtycke
Åtgärda analys-, marknadsförings- och tredjepartsskript som aktiveras innan besökaren har gjort ett samtyckesval.
Täcker: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 30-90 min
Ingen samtyckesbanner
Återställ eller implementera en samtyckesbanner i första lagret innan någon valfri spårning eller lagring startar.
Täcker: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 15-60 min
Ingen avvisningsknapp eller dold avvisning
Gör det lika enkelt och synligt att avvisa som att acceptera genom att rätta saknade, dolda eller försvagade Reject-åtgärder.
Täcker: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 1-2 h
Cookie wall
Ta bort mönster som blockerar åtkomst till innehåll tills besökaren accepterar valfri spårning.
Täcker: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Allvar: MedelAnsvarig: MarketingTid att åtgärda: 30-120 min
Oklassificerade cookies
Klassificera okända cookies, dokumentera deras syfte och sluta skicka odeklarerad lagring till produktion.
Täcker: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 1-2 h
Google Consent Mode-avvikelse
Åtgärda fall där Google-taggar beter sig som om samtycke givits trots att runtime-statusen säger denied.
Täcker: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 1-3 h
Tredjepartsförfrågningar före samtycke
Stoppa valfria leverantörer från att göra nätverksanrop innan besökaren har bestämt om de ska tillåtas.
Täcker: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Allvar: MedelAnsvarig: UtvecklingTid att åtgärda: 30-90 min
Google Fonts före samtycke eller extern fontladdning
Hosta typsnitt lokalt och ta bort fjärranrop som läcker förfrågningar före opt-in.
Täcker: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Allvar: MedelAnsvarig: UtvecklingTid att åtgärda: 30-120 min
Osäkra spårningscookies (Secure- eller SameSite-problem)
Härda cookie-attribut så att valfria cookies inte levereras med svaga säkerhetsstandarder i webbläsaren.
Täcker: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 1-3 h
Fingerprinting före samtycke
Skjut upp eller ersätt skript som undersöker webbläsarens egenskaper innan besökaren har gjort ett samtyckesval.
Täcker: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 1-2 h
Google Consent Mode upptäcks inte
Implementera Consent Mode-standardvärden och uppdateringar så att Google-taggar får ett uttryckligt samtyckesläge i stället för att köras utan signal.
Täcker: consent_mode_not_detected, consent_mode_missing
- Bekräfta att Consent Mode-standardvärden finns redan vid första laddningen före valfria taggar.
- Bekräfta att Reject håller Googles storage-värden i denied-läge.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 30-90 min
Analytics före samtycke
Förhindra att analytics-verktyg laddas eller skriver till storage innan besökaren har lämnat uttryckligt samtycke.
Täcker: pre_consent_analytics_cookie, analytics_before_consent
- Bekräfta att inga analytics-förfrågningar skickas före samtycke.
- Bekräfta att analytics-cookies inte sätts förrän användaren accepterar.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 30-90 min
Marknadsföringscookies före samtycke
Blockera annons- och retargeting-cookies samt skript tills användaren uttryckligen har godkänt marknadsföring.
Täcker: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Bekräfta att inga marknadsföringscookies finns före samtycke.
- Bekräfta att inga förfrågningar går till annonsnätverk förrän användaren accepterar.
Allvar: HögAnsvarig: MarketingTid att åtgärda: 30-60 min
Meta Pixel före samtycke
Förhindra att Meta Pixel laddas eller skickar händelser innan besökaren har lämnat nödvändigt samtycke för marknadsföring.
Täcker: meta_pixel_before_consent, pre_consent_meta_pixel
- Bekräfta att inga Meta-förfrågningar skickas före samtycke.
- Bekräfta att Meta-cookies fortfarande saknas i denied-läge.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 30-60 min
GA4 före samtycke
Skjut upp initialisering av Google Analytics 4 tills giltigt analytics-samtycke finns och kontrollera att Consent Mode-parametrar fungerar konsekvent.
Täcker: ga4_before_consent, pre_consent_ga4
- Bekräfta att inga GA4-anrop skickas före analytics-samtycke.
- Bekräfta att `_ga`-cookies saknas före opt-in.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 1-2 h
GTM-taggar körs före samtycke
Korrigera GTM-triggerar så att valfria taggar inte kör någonting förrän nödvändigt samtycke finns.
Täcker: gtm_tags_before_consent, pre_consent_gtm_fire
- Bekräfta i Preview att inga valfria GTM-taggar körs före samtycke.
- Bekräfta att endast nödvändiga taggar är aktiva vid första laddningen.
Allvar: HögAnsvarig: CMP-adminTid att åtgärda: 15-45 min
Reject bara i andra lagret
Visa Reject-knappen redan i första lagret i stället för att tvinga användaren att öppna inställningar eller göra extra klick för att neka valfri behandling.
Täcker: reject_in_second_layer, reject_not_first_layer
- Bekräfta att Reject finns i första lagret på desktop och mobil.
- Bekräfta att Reject från första lagret blockerar valfria taggar.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 30-90 min
Samtyckesbannern visas inte på mobil
Åtgärda viewport-, CSS- och lazy-load-problem som gör att bannern försvinner eller inte renderas på mobil.
Täcker: mobile_banner_missing, consent_banner_mobile
- Bekräfta att bannern visas på en riktig mobil enhet.
- Bekräfta att användaren kan använda både Accept och Reject på mobil.
Allvar: MedelAnsvarig: UtvecklingTid att åtgärda: 30-90 min
Samtyckesstatus sparas inte
Korrigera storage och reload-beteende så att besökarens val sparas och tillämpas mellan sidor och sessioner.
Täcker: consent_not_persisted, consent_state_lost
- Bekräfta att samma val kvarstår efter reload och navigering mellan sidor.
- Bekräfta att Reject förblir denied vid ett senare besök.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 1-2 h
Tredjepartsinbäddningar före samtycke
Skjut upp laddning av YouTube, kartor, chatt, bokning och andra tredjepartsinbäddningar tills besökaren har samtyckt eller uttryckligen valt att ladda dem.
Täcker: pre_consent_embed, third_party_embed_before_consent
- Bekräfta att inbäddade leverantörer inte får några förfrågningar vid första laddningen.
- Bekräfta att inbäddningen bara laddas efter opt-in eller click-to-load.
Allvar: HögAnsvarig: MarketingTid att åtgärda: 15-45 min
Hotjar före samtycke
Förhindra att Hotjar laddar session replay- eller heatmap-skript innan besökaren har gett analytics- eller marknadsföringssamtycke.
Täcker: hotjar_before_consent, pre_consent_hotjar
- Bekräfta att Hotjar inte laddas före samtycke.
- Bekräfta att Hotjar-cookies saknas i pre-consent-läge.
Allvar: MedelAnsvarig: MarketingTid att åtgärda: 30-120 min
Cookie-deklarationen är inaktuell
Anpassa den publicerade cookie-deklarationen till de cookies och leverantörer som faktiskt observeras i runtime-bevisningen.
Täcker: cookie_declaration_outdated, declaration_mismatch
- Bekräfta att varje observerad cookie finns med i deklarationen.
- Bekräfta att borttagna leverantörer inte längre listas om de inte längre körs.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 1-2 h
Cookies sätts fortfarande efter Reject
Åtgärda flöden där valfria cookies eller förfrågningar fortsätter trots att besökaren uttryckligen har avvisat spårning.
Täcker: cookies_after_reject, reject_not_enforced
- Reject och reload: bekräfta att valfria cookies fortfarande saknas.
- Reject och reload: bekräfta att valfria förfrågningar förblir blockerade.
Allvar: MedelAnsvarig: UtvecklingTid att åtgärda: 30-90 min
Samtyckesbannern blockeras av CSP
Uppdatera Content Security Policy så att CMP-skript, stilar eller iframe-resurser kan laddas utan att säkerheten mjukas upp i onödan.
Täcker: cmp_blocked_by_csp, consent_banner_csp_error
- Bekräfta att CSP-fel kopplade till CMP-tillgångar försvinner.
- Bekräfta att bannern renderas normalt och accepterar användarinteraktion.
Allvar: HögAnsvarig: UtvecklingTid att åtgärda: 1-3 h
Samtyckesproblem i server-side GTM
Synkronisera routing i server-side GTM och spridningen av samtycke så att server-side-tagging inte kringgår besökarens samtyckesstatus.
Täcker: ssgtm_consent_issue, server_side_gtm_before_consent
- Bekräfta att valfria händelser inte proxas till server-side GTM före samtycke.
- Bekräfta att Accept aktiverar önskat händelseflöde medan Reject håller det i denied-läge.