Är Google Analytics GDPR-säkert 2026?

Google Analytics 4 kan användas lagligt i EU 2026, men bara med korrekt opt-in-samtycke och så länge EU-US Data Privacy Framework står kvar.

Det är ett villkorat ja, inte ett rakt. Och villkoren är just det som avgör valet mellan Google Analytics och Matomo. Frågan har flyttat från “är GA lagligt?” till en praktisk fråga: vill ni mäta er trafik, eller vill ni administrera en juridisk risk varje gång ramverket utmanas?

Varför det spelar roll

Den gamla sanningen, att Google Analytics helt enkelt var olagligt i EU, kommer från en värld där avtalet Privacy Shield hade fällts och inget ersatt det. Den världen finns inte längre. EU-kommissionen antog adekvansbeslutet för EU-US Data Privacy Framework den 10 juli 2023 (Implementing Decision (EU) 2023/1795, källa: EUR-Lex). Sedan dess kan personuppgifter föras till certifierade amerikanska mottagare, och GA4 kan köras lagligt, under förutsättning att besökaren tackat ja innan spårningsskriptet laddas.

Men golvet vacklar. Den 3 september 2025 avvisade EU:s tribunal en begäran från Philippe Latombe att ogiltigförklara ramverket och bekräftade dess giltighet (källa: IAPP, 3 september 2025). Domen är överklagad till EU-domstolen som mål C-703/25 P, fortfarande pågående i juni 2026 (källa: WilmerHale, december 2025). Det var tredje gången på tio år ett dataöverföringsavtal mellan EU och USA prövades i EU:s högsta domstolar. De två föregående, Safe Harbor 2015 och Privacy Shield 2020, ogiltigförklarades båda.

För er som ansvarar för webbanalys betyder det en sak: GA4:s laglighet i EU hänger på ett beslut som domstolen redan fällt två gånger förut. Det går att leva med risken. Men den är er att bära.

Hur det fungerar

Skillnaden mellan Matomo och Google Analytics 4 ligger inte i vad de mäter, sidvisningar, sessioner och konverteringar finns i båda. Den ligger i vad varje verktyg kräver för att vara lagligt och vem som äger datan.

För att köra GA4 lagligt i EU 2026 behöver ni i praktiken fyra delar samtidigt: en samtyckesplattform med banner, ett giltigt opt-in innan skriptet laddas, Google Consent Mode v2 och ett fungerande Data Privacy Framework i botten. Consent Mode v2 är obligatoriskt sedan 6 mars 2024, drivet av Digital Markets Act sedan Google utsetts till “gatekeeper” (källa: Google Ads Help). Den 21 juli 2025 skärpte Google efterlevnaden av sin EU-samtyckespolicy (EU User Consent Policy) och började automatiskt stänga av conversion-tracking, remarketing och demografisk rapportering för EEA- och UK-konton som inte signalerade korrekt samtycke via Consent Mode v2 (källa: Google Ads Help, “Updates to consent mode for traffic in European Economic Area (EEA)”). Brister en enda del i kedjan faller compliancen.

Matomo i privacy-läge tar bort hela den kedjan. Ingen data lämnar EU, ingen samtyckesbanner krävs i den cookie-fria konfigurationen, och besökare identifieras via en config_id i stället för cookies eller fingerprinting. Config_id är en slumpfröad hash av ett fåtal besökarattribut med ett tidsfönster på högst 24 timmar (källa: matomo.org). Matomo undviker medvetet fingerprinting. Resultatet är att ni mäter samtliga besökare, inte bara de som klickat “acceptera”.

Tre saker skiljer alltså verktygen i praktiken: var datan lagras, om en samtyckesbanner krävs, och hur stor andel av besökarna ni faktiskt mäter.

Matomo erbjuder dessutom funktioner GA4 saknar eller tar betalt extra för. Heatmaps och session-inspelningar, en inbyggd tag manager, formuläranalys och A/B-tester finns i samma verktyg. Datan stannar hos er hela vägen. Den som vill mäta ett intranät eller en single digital gateway slipper därför skicka medarbetares eller medborgares beteende till en tredje part.

Att gå från Google Analytics till Matomo är ingen tung omläggning. Ett spårningsskript byts ut, mål och konverteringar sätts upp på nytt, och privacy-läget konfigureras. Historisk GA-data kan föras över med GoogleAnalyticsImporter-plugin, men kräver handpåläggning. I praktiken är det konfigurationen av privacy-läget och rapporterna som tar tid, inte själva mätskriptet.

När det passar

Matomo i privacy-läge passar er som vill äga er mätstack och slippa beroendekedjan. Det gäller särskilt:

• Offentlig sektor, där dataminimering och europeisk drift väger tungt. Med Cybersäkerhetslagen (SFS 2025:1506) i kraft sedan 15 januari 2026 och kommande krav från NIS2 och Cyber Resilience Act blir var data hamnar en säkerhetsfråga.
• Organisationer som vill mäta hela trafiken. En samtyckesbanner gör att GA4 tappar alla besökare som tackar nej, vilket sänker datakvaliteten. I etrackers Cookie Consent Benchmark Study 2025 gick i genomsnitt 60 procent av besöksdatan förlorad när en juridiskt korrekt utformad samtyckeslösning krävdes (källa: etracker, Cookie Consent Benchmark Study 2025). Den faktiska andelen varierar kraftigt mellan bransch och trafikkälla.
• Den som mäter intranät eller inloggade flöden, där tredjepartsspårning ofta är direkt olämplig.

Google Analytics 4 passar fortfarande er som redan lever djupt i Googles ekosystem, Google Ads, BigQuery, Looker, och som accepterar samtyckesarbetet i utbyte mot den integrationen. Verktyget är moget och brett använt.

Matomo i sig är heller ingen nisch. Verktyget används på över en miljon webbplatser världen över (källa: matomo.org och W3Techs, november 2025). I Sverige har det blivit standardvalet för kommuner och myndigheter som vill mäta utan att skicka data ut ur EU. Att äga sin mätstack betyder också att man inte är utlämnad åt en leverantörs beslut att pensionera verktyg, som när Google la ner Google Optimize.

När det inte passar

Matomo är inte ett magiskt undantag från GDPR. Self-hosting flyttar ansvaret till er: någon måste sköta drift, säkerhetsuppdateringar och backuper. Kör ni Matomo med cookies och full geolokalisering i stället för privacy-läget, behöver även Matomo en samtyckesbanner. Verktyget gör er inte automatiskt regelefterlevande, konfigurationen gör det.

Google Analytics 4 är å andra sidan inte fel val i sig. För en organisation utan EU-specifika krav, eller där hela målgruppen redan samtycker, kan GA4:s djup och gratis-modell väga tyngre än risken. Den som behöver realtids-integration mot Google Ads för annonsoptimering hittar inte samma koppling i Matomo. Och att byta verktyg mitt i en pågående mätperiod bryter jämförbarheten i datan, timing spelar roll.

Valet är inte “det ena är lagligt, det andra olagligt”. Det är en avvägning mellan kontroll och bekvämlighet.

Konkret exempel

Den 3 juli 2023 beslutade Integritetsskyddsmyndigheten att fyra svenska bolag brutit mot GDPR genom sin användning av Google Analytics (källa: imy.se). Tele2 fick tolv miljoner kronor i sanktionsavgift, CDON 300 000 kronor, och Coop och Dagens Industri förelades att sluta använda verktyget. Ärendena startade efter noybs 101 klagomål i kölvattnet av Schrems II-domen.

De besluten gällde en värld före Data Privacy Framework, så de säger inte att GA är olagligt i dag. Men de säger något viktigare: svensk tillsyn granskar webbanalys, och en organisation som inte kan visa hur dess mätning hanterar persondata står svagt om frågan ställs. Flera svenska myndigheter drog samma slutsats, anmälde sig själva och stängde av GA innan tillsynen hann fram.

Digitalist driftar tio Matomo-instanser som EU-hostad SaaS och konfigurerar privacy-läget åt kunder så att mätningen sker utan samtyckesbanner och utan tredjelandsöverföring. Som generell trovärdighetssignal mäter vi oss i resultat: NPS 61.

Ovanpå Matomo bygger vi dashboards i Apache Superset så att mätdatan går bortom standardrapporterna och blir beslutsunderlag för verksamheten, inte bara siffror för analytiker.

Vanliga missförstånd

“GA4 är olagligt i EU.” Det var sant i fönstret mellan Privacy Shields fall och Data Privacy Framework, men inte längre. GA4 är lagligt 2026, villkorat av giltigt samtycke och av att ramverket håller i EU-domstolen. Den absoluta formuleringen är överspelad och blir ett faktafel om den upprepas okritiskt.

“IP-anonymisering gör GA lagligt.” Att anonymisera IP-adressen löser inte tredjelandsöverföringen. Datan skickas fortfarande till Googles infrastruktur, och det var överföringen, inte IP-adressen ensam, som tillsynsmyndigheterna underkände. IP-anonymisering är en delåtgärd, inte ett undantag.

“Matomo är gratis, alltså kostar bytet inget.” Matomo On-Premise är gratis i licens, men self-hosting kräver drift, säkerhet och uppdateringar. Den som inte vill äga den driften väljer EU-hostad Matomo Cloud eller en driftpartner, och betalar i drift i stället för i licens. Gratis programvara är inte detsamma som gratis lösning.

Frågan är till sist inte vilket verktyg som har flest funktioner. Den är om ni vill att er webbanalys ska vara något ni äger, eller något ni måste försvara varje gång det rättsliga golvet flyttar sig.