Har grävt lite i nätverkstrafiken på Lexbase och hittat något
intressant. De påstår i sin integritetspolicy att de samlar
"anonym statistik" via cookies. Det stämmer inte.
=== VAD SOM HÄNDER VID SIDLADDNING ===
Direkt när du besöker lexbase.se laddas och aktiveras följande:
- Matomo Analytics (analytics.lexbase.se)
- Cloudflare Insights / RUM
- Stripe.js (laddas globalt, inte bara på betalningssidor)
Nätverkstrafik – spårningsskript laddas vid sidladdning
=== VAD MATOMO SKICKAR OM DIG ===
Här är exakt vad som skickades till deras server vid mitt besök:
- _id: 3bac8db7ea64f261 (persistent visitor ID)
- _ref: https://se.search.yahoo.com/ (sökningen som ledde mig dit)
- uadata: Chrome 149, macOS 15.7.4, Desktop
- Skärmupplösning, sidans laddningstider, plugin-info
Matomo payload – visitor ID, referrer-URL och enhetsdata skickas utan samtycke
=== VAD LEXBASE SJÄLVA SKRIVER I SIN POLICY ===
Direktcitat från deras integritetspolicy (avsnitt 8, april 2025):
"Lexbase använder cookies för att förbättra din upplevelse,
komma ihåg inloggning och samla anonym statistik."
Källa: Lexbase
"Anonym statistik." Med ett persistent visitor ID som spårar
dig över tid. Välj en.
=== COOKIE-BANNER? JA. SPELAR INGEN ROLL. ===
En cookie-banner dök visserligen upp – men jag accepterade
aldrig något. Matomo skickade ändå full tracking-data direkt
vid sidladdning, innan jag hann göra något val alls.
Det är faktiskt värre än att inte ha någon banner alls.
Det visar att Lexbase är medvetna om att samtycke krävs,
men att deras tekniska implementation ignorerar användarens
val helt. Skripten körs oavsett vad du klickar på.
Samtycke som inte respekteras är inget samtycke.
=== JURIDIKEN ===
Enligt EU-domstolens Planet49-dom (2019) kräver spårning ett
aktivt opt-in samtycke INNAN skript får aktiveras. Inte efter.
Inte parallellt. Innan.
Lexbase hävdar dessutom att yttrandefrihetsgrundlagen (YGL)
befriar dem från GDPR. Det stämmer för deras publicerade
innehåll – men inte för spårning av besökare via
analysverktyg. Det är en separat behandling utan grundlagsskydd.
Samma mönster finns hos Krimfup (Meta Pixel utan samtycke) –
även de anmälda till IMY.
=== STATUS ===
IMY-anmälan inlämnad mot Lexbase
IMY-anmälan inlämnad mot Krimfup
SAR (registerutdrag Art. 15 GDPR) skickad till Lexbase
– de har 30 dagar på sig att svara
Återkommer med uppdateringar när/om svar kommer.
Det ironiska: De lever på att publicera dina uppgifter om du finns i deras databas, men skyddar inte uppgifterna om dig som besökare på deras sajt.
intressant. De påstår i sin integritetspolicy att de samlar
"anonym statistik" via cookies. Det stämmer inte.
=== VAD SOM HÄNDER VID SIDLADDNING ===
Direkt när du besöker lexbase.se laddas och aktiveras följande:
- Matomo Analytics (analytics.lexbase.se)
- Cloudflare Insights / RUM
- Stripe.js (laddas globalt, inte bara på betalningssidor)
Nätverkstrafik – spårningsskript laddas vid sidladdning
=== VAD MATOMO SKICKAR OM DIG ===
Här är exakt vad som skickades till deras server vid mitt besök:
- _id: 3bac8db7ea64f261 (persistent visitor ID)
- _ref: https://se.search.yahoo.com/ (sökningen som ledde mig dit)
- uadata: Chrome 149, macOS 15.7.4, Desktop
- Skärmupplösning, sidans laddningstider, plugin-info
Matomo payload – visitor ID, referrer-URL och enhetsdata skickas utan samtycke
=== VAD LEXBASE SJÄLVA SKRIVER I SIN POLICY ===
Direktcitat från deras integritetspolicy (avsnitt 8, april 2025):
"Lexbase använder cookies för att förbättra din upplevelse,
komma ihåg inloggning och samla anonym statistik."
Källa: Lexbase
"Anonym statistik." Med ett persistent visitor ID som spårar
dig över tid. Välj en.
=== COOKIE-BANNER? JA. SPELAR INGEN ROLL. ===
En cookie-banner dök visserligen upp – men jag accepterade
aldrig något. Matomo skickade ändå full tracking-data direkt
vid sidladdning, innan jag hann göra något val alls.
Det är faktiskt värre än att inte ha någon banner alls.
Det visar att Lexbase är medvetna om att samtycke krävs,
men att deras tekniska implementation ignorerar användarens
val helt. Skripten körs oavsett vad du klickar på.
Samtycke som inte respekteras är inget samtycke.
=== JURIDIKEN ===
Enligt EU-domstolens Planet49-dom (2019) kräver spårning ett
aktivt opt-in samtycke INNAN skript får aktiveras. Inte efter.
Inte parallellt. Innan.
Lexbase hävdar dessutom att yttrandefrihetsgrundlagen (YGL)
befriar dem från GDPR. Det stämmer för deras publicerade
innehåll – men inte för spårning av besökare via
analysverktyg. Det är en separat behandling utan grundlagsskydd.
Samma mönster finns hos Krimfup (Meta Pixel utan samtycke) –
även de anmälda till IMY.
=== STATUS ===
IMY-anmälan inlämnad mot Lexbase
IMY-anmälan inlämnad mot Krimfup
SAR (registerutdrag Art. 15 GDPR) skickad till Lexbase
– de har 30 dagar på sig att svara
Återkommer med uppdateringar när/om svar kommer.
Det ironiska: De lever på att publicera dina uppgifter om du finns i deras databas, men skyddar inte uppgifterna om dig som besökare på deras sajt.
Om du har tid så kan du ju läsa inlägget i denna tråde i hur man kan begära ut uppgifter om din "anonyma" data XD om 30 stycken jgör det och bara 15 får svar blir det 15 anmälningar till ^^