Meta-pixel på vårdsajter — vad säger IMY:s beslut?
När en vårdmottagnings webbplats laddar en annonsspårare — en Meta-pixel, en Google Ads-konvertering — innan besökaren har samtyckt, kan uppgifter om besöket föras vidare till en annonsplattform. Integritetsskyddsmyndigheten (IMY) har sanktionerat just detta. Men det är lätt att missförstå vad besluten grundades på: den rättsliga grunden var kravet på säkerhet i behandlingen och reglerna om överföring — inte ett avgörande om hälsodata. Här reder vi ut skillnaden.
Vad hände i IMY:s pixel-beslut?
IMY har utfärdat sanktionsavgifter mot Apoteket AB (37 miljoner kronor) och Apohem (8 miljoner kronor) för användningen av Meta-pixeln. Pixeln förde över uppgifter om vad besökarna gjorde på webbplatsen — inklusive uppgifter kopplade till köp — till Meta, utan tillräckliga skyddsåtgärder.
Viktigt att vara exakt med: IMY:s rättsliga grund i de besluten var kravet på lämpliga säkerhetsåtgärder vid behandlingen (GDPR artikel 32) tillsammans med reglerna om överföring av personuppgifter. Det var alltså inte ett avgörande om att besöksdatan utgjorde känsliga hälsouppgifter enligt artikel 9. Den distinktionen är värd att hålla isär — vi ramar in det här som en överföring utan skyddsåtgärder, inte som ett fastställt hälsodata-brott.
Varför är annonsspårare extra känsligt på en vårdsajt?
Att någon besökt en vårdmottagnings webbplats kan i sig antyda något om personen — att hen sökt vård. Att föra över den signalen till en annonsplattform är en överföring som behöver skyddsåtgärder, och konsekvenserna om det görs fel är större på en vårdsajt än på en vanlig företagssajt.
Att besöket skulle röja hälsoinformation är en rimlig egen riskbedömning — men det är inte den slutsats IMY:s pixel-beslut vilar på. Vi pekar därför på risken med överföringen, inte på en rättslig dom om hälsodata.
Före samtycke är kärnan
Problemet uppstår när annonsspåraren fyrar innan besökaren har samtyckt — eller fortsätter ladda efter att besökaren avvisat. En korrekt samtyckes-grindad annonspixel, som inte laddar förrän besökaren aktivt godkänt det, har inte det här problemet.
Det är två lager som möts: samtyckeskravet för att alls placera spåraren (ePrivacy/LEK), och kravet på skyddsåtgärder och korrekt överföring när uppgifterna väl skickas vidare (artikel 32 och överföringsreglerna).
Boknings- och kontaktsidor är extra känsliga
En annonsspårare som fyrar på själva sidan där patienten bokar tid eller kontaktar mottagningen knyter annonsplattformen till en konkret vård-sökande handling. Det är därför vi särskilt lyfter fram trackers på boknings- och kontaktsidor.
Så testar CompliantHQ det här
Det här är en kontroll över modulgränserna. Vid cookie-skanningen mäter vi vilka annonsspårare (Meta, Google Ads, TikTok, Snapchat, LinkedIn, Bing) som laddar före samtycke, och kombinerar det med att webbplatsen tillhör en vårdbransch. Trackers som observeras på boknings- eller kontaktsidor lyfts särskilt.
Spårarens närvaro är en deterministisk mätning, men slutsatsen om hälsodata-risk är en bedömning — därför ramar vi in risken och dömer inte. Fyndet blir aldrig ett konstaterat lagbrott; det beskriver att uppgifter kan föras till en annonsplattform innan besökaren fått välja.
Så gör du
- Se till att annonsspårare inte laddar före samtycke — särskilt inte på boknings- och kontaktsidor.
- Grinda spårarna bakom ett aktivt samtycke i din cookie-banner, så att de bara aktiveras efter att besökaren godkänt det.
- Behöver du inte annonsspårningen alls? Då är det enklaste att ta bort den.
- Kontrollera att en korrekt konfigurerad samtyckesplattform (CMP) faktiskt blockerar pixeln före samtycke — det vanliga felet är inte att bannern saknas, utan att den inte blockerar som den ska.
Det här ingår i granskningen
- Att vårdwebbplatser inte läcker besöksdata till annonsplattformar (Meta-pixel m.fl.) före samtycke — särskilt på boknings- och kontaktsidor (GDPR art. 32 + överföring).
Vanliga frågor
Grundades IMY:s pixel-beslut på att besöksdata är känsliga hälsouppgifter (artikel 9)?
Nej. IMY:s rättsliga grund i Apoteket- och Apohem-besluten var kravet på säkerhetsåtgärder (artikel 32) och reglerna om överföring — inte ett avgörande om artikel 9. Att ett vårdbesök skulle röja hälsoinformation är en rimlig egen riskbedömning, men det är inte vad besluten vilar på.
Är det olagligt att ha en Meta-pixel på en vårdsajt?
Inte i sig. Problemet är när annonsspåraren laddar och för över uppgifter före samtycke och utan skyddsåtgärder. En korrekt samtyckes-grindad pixel som bara aktiveras efter aktivt godkännande är en annan sak. Vår kontroll beskriver risken och dömer inte.
Vad menas med 'före samtycke'?
Att spåraren fyrar redan vid sidladdningen, innan besökaren har klickat 'godkänn' i cookie-bannern — eller att den fortsätter ladda efter att besökaren avvisat. Det är det läget vi mäter; en pixel som väntar på aktivt samtycke fångas inte.
Varför lyfter ni särskilt boknings- och kontaktsidor?
För att en annonsspårare på den sida där patienten faktiskt bokar tid eller kontaktar mottagningen knyter annonsplattformen till en konkret vård-sökande handling — den känsligaste varianten av problemet.
Vill du se vad vi hittar på din webbplats?
Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.