Tillbaka till bloggen
IMY 8 min läsning

Är Google Analytics olagligt i Sverige 2026?

Korta svaret: nej, men det är på gränsen. Här är vad du faktiskt behöver veta som svenskt företag, kommun eller offentlig organisation.

Frågan dyker upp i nästan varje procurement-möte: "Får vi använda Google Analytics?". Svaret är inte ja eller nej, det beror på vad du är för organisation, vilken sektor du arbetar i, och vilken riskaptit du har. Den här artikeln går igenom det juridiska läget i maj 2026.

Sammanfattning för den som har bråttom

  • Privata svenska företag: Google Analytics 4 är tekniskt lagligt via EU-US Data Privacy Framework (DPF), men juridiskt ömtåligt. Cookie-banner är obligatorisk enligt ePrivacy.
  • Kommuner och regioner: IMY rekommenderar att undvika GA4. Många kommuner har redan bytt. Schrems II-osäkerheten väger tyngre än bekvämligheten.
  • Vård, skola, barnomsorg: Byt bort. Riskerna överstiger nyttan vid hantering av särskilt skyddsvärda kategorier av personuppgifter.
  • SaaS-företag med EU-kunder: Ditt val påverkar dina kunders compliance. Många B2B-kunder kommer att fråga om du har bytt bort GA4 i sina vendor-frågeformulär 2026.

Tidslinje: Schrems II och DPF

För att förstå varför detta är komplicerat behöver vi backa till 2020. EU-domstolen ogiltigförklarade då Privacy Shield, det avtal som tidigare reglerade dataöverföring mellan EU och USA. Domen kallas Schrems II och den slog fast att amerikansk lagstiftning (särskilt FISA 702) ger amerikansk underrättelsetjänst för bred tillgång till europeiska persondata för att DPF-liknande överenskommelser ska räcka.

Mellan 2020 och 2023 var GA4-användning i EU i juridisk gråzon. Flera tillsynsmyndigheter (Österrike, Frankrike, Italien, Danmark) bedömde GA4 olagligt under denna period.

I juli 2023 trädde EU-US Data Privacy Framework (DPF) i kraft som ersättning. Google självcertifierade sig under DPF, vilket ger nuvarande juridiska grund för dataöverföring. Det är fortfarande den juridiska grunden idag, maj 2026.

Max Schrems (samme advokat som drev Schrems II) har lämnat in nya rättsliga prövningar mot DPF. Den kommer sannolikt att kallas Schrems III om EU-domstolen tar upp den, och förväntas avgöras inom 2 till 4 år. Om DPF faller, är vi tillbaka i juridisk gråzon.

Vad säger IMY 2026?

Integritetsskyddsmyndigheten har inte utfärdat ett blanket-förbud mot GA4 efter att DPF trädde i kraft. Däremot:

  • IMY har explicit rekommenderat att offentliga aktörer (kommuner, regioner, statliga myndigheter) bör söka EU-baserade alternativ.
  • Tillsynsärenden om cookie-banners är fortsatt en av IMY:s vanligaste fokusområden. En felaktigt implementerad cookie-banner är i sig en GDPR-överträdelse, oavsett vad analystjänsten gör med datan.
  • Vid hantering av särskilt skyddsvärda personuppgifter (hälsa, etnicitet, religion, sexuell läggning, barn) är ribban väsentligt högre.

Den verkliga kostnaden för att behålla GA4

GA4 är gratis. Den verkliga kostnaden tar man ut i andra valutor:

1. Cookie-banner-friktion

GA4 sätter cookies. Cookies kräver samtycke enligt ePrivacy. Cookie-banners minskar konvertering och förstör UX. Studier har visat att 30–60% av besökare avvisar cookies, vilket betyder att en stor andel av din trafik inte ens räknas i GA4.

2. JavaScript-tyngd

GA4-skriptet är cirka 70 KB minifierat och gzippat. Det laddar in i din sidas head och kan fördröja Largest Contentful Paint (LCP). Det syns i Core Web Vitals och därmed i Google Search ranking. Spårlös skript är under 1,5 KB.

3. Juridisk osäkerhet

Om Schrems III avslår DPF om 2 år behöver du då migrera bort från GA4 under tidspress, med dataförluster. Att byta proaktivt är billigare.

4. Procurement-friktion

Om du säljer till svensk offentlig sektor, vård, skola eller större företag, så kommer vendor-frågeformulär att fråga om du använder Google Analytics. Att svara "ja, men via DPF" är inte ett vinnande svar.

När du verkligen ska byta

Du bör byta bort GA4 nu om något av följande gäller:

  • Du är offentlig aktör (kommun, region, myndighet, skola, vård).
  • Du säljer till offentlig aktör och får frågan i vendor-formulär.
  • Du hanterar särskilt skyddsvärda personuppgifter.
  • Du anser att en cookie-banner aktivt skadar din konvertering (de flesta SaaS-företag tillhör den här kategorin).
  • Du vill ha tydlig och försvarbar GDPR-status även om DPF faller om 2 år.

Hur en migration ser ut

I praktiken är det enklare än man tror. Den moderna generationen av webbanalystjänster (Plausible, Fathom, Spårlös) är cookie-fria och installeras med en enrad-snutt:

<script defer data-site="DIN_SITE_ID" src="https://sparlos.se/script.js"></script>

Migrationen tar typiskt 1–2 timmar:

  • 30 minuter: skapa konto, lägg till din webbplats, klistra in snutten.
  • 30 minuter: kör Spårlös parallellt med GA4 i 48 timmar för jämförelse.
  • 30 minuter: ta bort GA4-koden och cookie-bannern. Uppdatera integritetspolicyn.

Spårlös är byggt från grunden för svensk marknad. Vi tillhandahåller svenskt DPA vid registrering, fakturerar i SEK med F-skatt, och vår support svarar på svenska.

Källor och vidare läsning

Klar att byta bort GA4?

Skapa konto på 90 sekunder. Få ett färdigt svenskt DPA direkt. Inget kreditkort krävs för 14-dagars Pro-prov.

Är Google Analytics olagligt i Sverige 2026? | Spårlös