NordVPN
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Ett vanligt kontaktformulär samlar in personuppgifter i samma stund som någon skriver sitt namn och sin e-postadress. Här är vad som faktiskt behöver stämma: vilka fält som finns med, hur uppgifterna skickas och sparas, hur ni skyddar formuläret mot spam, och vad besökaren ska få veta innan uppgifterna skickas.
De flesta hemsidor har ett kontaktformulär, och de flesta hemsideägare tänker sällan på det som en plats där personuppgifter samlas in. Men så snart formuläret ber om namn, e-postadress eller ett fritextmeddelande hanterar ni personuppgifter enligt dataskyddsförordningen (GDPR), och samma grundkrav gäller som för andra register: samla in det som behövs, skydda det som skickas och sparas, och berätta för besökaren vad som händer med uppgifterna. Det handlar inte om att bygga om formuläret från grunden, utan om att gå igenom fem konkreta punkter en gång och sedan hålla dem uppdaterade.
Ett formulär som lever upp till grundkraven har fyra byggstenar på plats: fälten samlar bara in det som faktiskt behövs för ärendet, överföringen sker krypterat, det finns en bestämd tidsgräns för hur länge meddelanden sparas, och besökaren får se en kort integritetstext innan uppgifterna skickas in. Tabellen nedan kopplar varje risk till en konkret åtgärd, vem som brukar ansvara för den och vilken källa åtgärden vilar på.
| Risk | Åtgärd | Kontrollbevis | Källa |
|---|---|---|---|
| Formuläret samlar in fler fält än nödvändigt | Ta bort valfria fält som inte används i handläggningen, t.ex. personnummer eller organisationsnummer utan syfte | Uppdaterad formulärkod med bara nödvändiga fält | IMY / GDPR art. 5 |
| Formuläret skickas okrypterat | Säkerställ HTTPS på hela sajten, inte bara formulärsidan | Giltigt SSL/TLS-certifikat, ingen blandad HTTP/HTTPS-trafik | IMY informationssäkerhet |
| Meddelanden sparas utan tidsgräns | Sätt en gallringstid och rensa inkorgen enligt den | Dokumenterad lagringstid och genomförd gallring | GDPR art. 5 |
| Spamfilter delar data utan avtal | Kontrollera om leverantören är personuppgiftsbiträde och teckna avtal | Signerat biträdesavtal med spamfilter- eller formulärleverantör | IMY / GDPR art. 28 |
| Ingen integritetsinformation vid formuläret | Lägg en kort text med länk till fullständig policy nära skicka-knappen | Synlig integritetstext på formulärsidan | IMY |
Gå igenom formulärets fält och fråga er för varje fält: används det faktiskt när ärendet hanteras? Namn och e-postadress behövs nästan alltid för att kunna svara, men fält som personnummer, adress eller telefonnummer är sällan nödvändiga för ett vanligt kontaktärende och bör vara valfria eller tas bort helt. Samma sak gäller dolda fält som samlar in mer än vad besökaren ser, till exempel extra spårningsdata som skickas med utan att det finns ett tydligt ändamål. Ju färre fält som är obligatoriska, desto mindre finns det att skydda och desto lättare blir det att förklara vad uppgifterna används till. Ett vanligt kontaktformulär brukar landa ungefär så här, fält för fält:
Uppgifterna i formuläret ska färdas krypterat från besökarens webbläsare till er server, vilket i praktiken betyder att hela sajten, inte bara formulärsidan, ska ha ett giltigt SSL/TLS-certifikat och konsekvent HTTPS. En osäker anslutning gör innehållet läsbart för fler än avsändaren och mottagaren, och IMY förutsätter att den här typen av tekniska skyddsåtgärder anpassas efter risken i behandlingen. Kontrollera samtidigt vart meddelandena skickas vidare: hamnar de i en delad e-postinkorg, ett CRM eller ett formulärverktyg, och vem hos er som har åtkomst dit.
Lagringstiden är minst lika ofta förbisedd. Ett kontaktformulär utan gallringsrutin blir med tiden en samling gamla meddelanden som ingen längre har ett syfte med att spara, vilket strider mot principen om att inte lagra personuppgifter längre än nödvändigt. Bestäm en rimlig tidsgräns, till exempel att ärenden gallras eller arkiveras separat en viss tid efter att de är avslutade, och lägg in en påminnelse om att faktiskt genomföra gallringen i stället för att låta den bli en engångsinsats.
Ett formulär utan spamskydd fylls snabbt av automatiserade inskick, men lösningen behöver inte innebära att ni delar mer data än nödvändigt med en extern part. Enklare tekniker som ett dolt honeypot-fält eller en gräns för hur många inskick samma avsändare kan göra på kort tid stoppar mycket automatiserad spam utan att skicka besökarens uppgifter någonstans alls. Om ni i stället använder en extern captcha- eller spamfiltertjänst som tar emot meddelandets innehåll eller besökarens IP-adress, behandla den leverantören som vilket personuppgiftsbiträde som helst: kontrollera vad tjänsten faktiskt samlar in, och se till att ett biträdesavtal finns innan tjänsten kopplas in, inte efteråt. Samma sak gäller andra tredjepartsverktyg kring formuläret, till exempel ett formulärplugin som mellanlagrar inskicken hos leverantören eller en tjänst som skickar e-postnotiser vidare till flera mottagare: så snart en extern part hanterar personuppgifterna räknas den som personuppgiftsbiträde, oavsett om det är captcha, spamfilter, formulärplugin eller notistjänst som är inblandad.
Besökaren ska kunna se, i nära anslutning till formuläret och inte bara i en generell policy längre bort på sajten, vad som händer med uppgifterna. En kort text räcker: vad uppgifterna används till, vilken laglig grund behandlingen stödjer, vem som tar emot dem (till exempel om ett formulärverktyg eller en supportfunktion är inblandad), hur länge de sparas, och hur besökaren gör om de vill fråga, rätta eller få uppgifterna raderade. Länka gärna vidare till en fullständig integritetspolicy för den som vill läsa mer, men låt inte hela informationen ligga dold där som enda källa.
Ett kort exempel som täcker det viktigaste kan se ut ungefär så här: "Uppgifterna du lämnar i formuläret används för att besvara ditt ärende. Vi sparar dem så länge ärendet är aktivt och en kort tid därefter, och lämnar dem inte vidare i något annat syfte. Vill du se, rätta eller få uppgifterna raderade, kontakta oss på [er e-postadress]. Läs mer i vår integritetspolicy." Anpassa texten efter er egen lagringstid och era egna rutiner i stället för att kopiera den rakt av.
Om formulärverktyget, e-posttjänsten eller spamfiltret drivs av en extern leverantör räknas leverantören som personuppgiftsbiträde. Kontrollera att ett biträdesavtal finns på plats innan formuläret tas i drift eller byter leverantör – annars saknas grunden för delningen, oavsett hur bra den tekniska lösningen i övrigt är.
Ja. Namn, e-postadress, telefonnummer och även fritext som går att koppla till en levande person räknas som personuppgifter, oavsett hur formuläret ser ut eller hur få fält det har.
Formuläret ska skickas över en krypterad HTTPS-anslutning på hela sajten, inte bara på formulärsidan. Det är en teknisk säkerhetsåtgärd som IMY förutsätter anpassas efter risken i behandlingen, och en osäker anslutning gör uppgifterna läsbara för fler än avsändaren och mottagaren.
Bara så länge det finns ett faktiskt syfte, till exempel tills ärendet är avslutat plus en kort uppföljningsperiod. Sätt en bortre gräns och gallra sedan, i stället för att låta meddelanden ligga kvar i en inkorg på obestämd tid.
Inte i sig, men om filtret drivs av en extern leverantör som tar emot meddelandets innehåll eller besökarens IP-adress räknas leverantören som personuppgiftsbiträde. Då behövs samma typ av biträdesavtal som för andra verktyg som hanterar uppgifterna åt er.
Ändamålet med behandlingen, den lagliga grunden, vem som tar emot uppgifterna, hur länge de sparas och hur besökaren kontaktar er för att utöva sina rättigheter. Informationen ska vara synlig i anslutning till formuläret, inte bara nämnd i en generell policy längre bort på sajten.
Rangordningen bygger på vad våra besökare oftast väljer när de går vidare till ett verktyg. Jämför alltid pris och funktioner innan du bestämmer dig. Länkarna nedan är annonslänkar.
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Lösenordshanterare för team med säker delning av inloggningar och bevakning av läckta uppgifter, utan att lösenord mejlas eller återanvänds.
Passar: Fler än en person som behöver dela inloggningar till samma tjänster.
Rankningen speglar besökarnas vanligaste val och redaktionell bedömning, inte ett oberoende test. Vi kan få provision när du tecknar avtal via våra annonslänkar – det påverkar inte vilka fakta eller reservationer vi lyfter.
Säkerhetsverktyg 2026För lösenord, nätverk & dataskydd
Se listan