Heatmaps och sessionsinspelningar visar exakt hur besökare rör sig på en sajt, var de klickar och var de tvekar. Det är kraftfulla verktyg, men de samlar också in data om verkliga personer. Därför landar frågan snabbt i dataskydd. Kan man använda Hotjar och Microsoft Clarity och samtidigt följa GDPR? Kort svar: ja, men bara om verktygen konfigureras rätt och besökaren får säga sitt först.
Den här guiden går igenom vad som räknas som personuppgifter, när samtycke kan krävas, hur du maskerar känsliga uppgifter och var data hamnar. Sist finns en konkret checklista.
Notera att texten är allmän information och inte juridisk rådgivning. GDPR är principbaserat och en bedömning beror på hur just din sajt är byggd. Stäm av med egen jurist eller ditt dataskyddsombud innan du fattar beslut.
Vad räknas som personuppgifter i en heatmap?
En vanlig missuppfattning är att aggregerade klickkartor är anonyma. En ren klickkarta eller scrollkarta som bara visar var många besökare klickat kan vara relativt integritetsvänlig. Men både Hotjar och Clarity samlar normalt in mer än så.
Enligt GDPR är en personuppgift varje uppgift som direkt eller indirekt kan kopplas till en identifierbar person. Här ingår typiskt sett IP-adresser, enhets- och webbläsaridentifierare samt sessionsinspelningar av musrörelser, klick, scrollning och tangenttryck. En sessionsinspelning kan dessutom fånga upp det en besökare skriver i formulär, vilket i värsta fall kan omfatta namn, e-post eller till och med känsliga uppgifter. Det gör att den lagliga ribban ligger högre för inspelningar än för aggregerade kartor.
Samtycke innan spårning
För cookies och liknande tekniker gäller i Sverige ePrivacy-reglerna vid sidan av GDPR. Huvudregeln är att spårning som inte är strikt nödvändig kan kräva ett aktivt, informerat samtycke innan den startar. I praktiken innebär det att Hotjar eller Clarity inte bör ladda förrän besökaren tackat ja i en samtyckesruta. Ett förkryssat val eller ett passivt ”genom att fortsätta godkänner du” håller sällan måttet enligt tillsynspraxis. EU-domstolen slog redan 2019 fast i den så kallade Planet49-domen (mål C-673/17) att en förkryssad ruta inte är giltigt samtycke, utan att besökaren måste göra ett aktivt val.
Microsoft skärpte detta under 2025 och gjorde samtycke obligatoriskt för besökare inom EES, Storbritannien och Schweiz i Clarity. Verktyget har ett Consent API som du kan koppla till din samtyckesplattform. Hotjar är inte kompatibelt med GDPR som standard, utan behöver blockeras tills besökaren aktivt valt att tillåta analys. Integritetsmyndigheten IMY är den svenska tillsynsmyndighet som prövar den här typen av frågor.
Dataminimering och maskning
GDPR bygger på principen om uppgiftsminimering: samla bara in det du faktiskt behöver. För sessionsinspelningar är maskning det viktigaste verktyget för att leva upp till det.
Clarity maskerar som standard innehållet i alla textfält i inspelningar. Du ser att besökaren klickar i fältet och skriver, men inte vad som skrivs. Verktyget maskerar också sådant som namn, lösenord och kortnummer. Du kan dessutom sätta egna maskningsregler för specifika element, till exempel chattfält eller ytor med användargenererat innehåll.
Hotjar erbjuder på motsvarande sätt möjlighet att undertrycka text och dölja enskilda element med data-attribut, så att känsliga fält aldrig spelas in. En rimlig utgångspunkt är att maska allt som standard och bara visa det du medvetet bedömt som ofarligt. Aktivera också IP-anonymisering, som finns i båda verktygen, så att hela IP-adressen inte lagras.
Kortare lagring
Uppgiftsminimering gäller även över tid. Clarity lagrar som utgångspunkt sessionsdata i cirka 30 dagar. Sätt en lagringstid som matchar ditt faktiska behov snarare än att spara allt så länge som möjligt. Ju kortare tid, desto mindre risk.
Var lagras data, och vad gäller vid överföring till USA?
Var data hamnar geografiskt är en av de känsligaste punkterna. Efter Schrems II-domen 2020 skärptes kraven på överföringar av personuppgifter till tredjeland, framför allt USA.
Hotjar uppger att personuppgifter i de flesta fall lagras inom EU och att företaget använder standardavtalsklausuler för de fall data delas utanför EU. Microsoft Clarity lagrar däremot data i USA. För EU-besökare processas uppgifterna av Microsofts irländska bolag, och överföringen till USA vilar på EU-US Data Privacy Framework (DPF) som EU-kommissionen antog i juli 2023, kompletterat med standardavtalsklausuler.
Här är det värt att vara nyanserad. DPF ger i dag en laglig grund för överföring till DPF-certifierade amerikanska bolag, och ramverket klarade sin första rättsliga prövning i EU:s tribunal under 2025. Samtidigt påpekar flera jurister att dess långsiktiga hållbarhet är osäker, och en framtida ogiltigförklaring kan inte uteslutas. Väljer du ett verktyg som lagrar i USA bör du alltså följa rättsläget och ha en plan om förutsättningarna ändras.
Personuppgiftsbiträdesavtal (DPA)
Oavsett verktyg är du som webbplatsägare normalt personuppgiftsansvarig, medan Hotjar respektive Microsoft agerar personuppgiftsbiträde. Det innebär att du behöver ett personuppgiftsbiträdesavtal (DPA) på plats som reglerar vad biträdet får göra med uppgifterna. Båda leverantörerna tillhandahåller ett sådant avtal. Ansvaret för att samla in samtycke, hantera återkallelser och tillgodose registrerades rättigheter ligger hos dig.
Sanktioner och besökarnas rättigheter
Att ta dataskyddet på allvar är inte bara en formsak. Vid allvarliga överträdelser av GDPR kan tillsynsmyndigheten besluta om sanktionsavgifter på upp till 20 miljoner euro, eller fyra procent av koncernens globala årsomsättning om den summan är högre. Utöver avgiften finns risken för dålig publicitet och tappat förtroende hos besökarna.
Kom också ihåg att besökaren har rättigheter som du måste kunna tillgodose. Det gäller bland annat rätten att få veta vilka uppgifter du samlar in, rätten att få dem raderade och rätten att invända mot behandlingen. I praktiken innebär det att du behöver kunna hitta och ta bort en enskild persons inspelning på begäran. Hotjar har till exempel en funktion för att slå upp och radera en besökares data, och du bör kontrollera hur motsvarande hantering ser ut i det verktyg du väljer.
GDPR-vänligare alternativ
Om du vill minska den juridiska ytan finns integritetsvänligare vägar. Matomo är ett öppen källkods-verktyg som kan driftas på egen server, vilket ger dig full kontroll över var data lagras. Kört i så kallat cookieless-läge med tvåbyte-IP-anonymisering kan Matomo enligt leverantören i vissa fall användas utan samtyckesbanner. Den franska tillsynsmyndigheten CNIL har publicerat en konfigurationsguide som under vissa förutsättningar undantar Matomo från kravet på cookie-samtycke. Notera att detta gäller specifika konfigurationer och att din egen bedömning kan landa annorlunda. Matomo erbjuder även heatmaps och sessionsinspelningar som tillval.
Checklista: så kör du heatmaps mer integritetsvänligt
- Ladda inte Hotjar eller Clarity förrän besökaren aktivt samtyckt via din samtyckesplattform.
- Koppla verktygets samtyckesfunktion, till exempel Clarity Consent API, till din cookie-lösning.
- Maska alla textfält som standard och dölj känsliga element i inspelningar.
- Aktivera IP-anonymisering i verktyget.
- Sätt så kort lagringstid som ditt syfte kräver.
- Teckna personuppgiftsbiträdesavtal (DPA) med leverantören.
- Kartlägg var data lagras och, vid överföring till USA, kontrollera att grunden håller och följ rättsläget kring DPF.
- Respektera opt-out och signaler som Global Privacy Control.
- Beskriv verktyget tydligt i din integritetspolicy.
- Överväg ett självhostat alternativ som Matomo om du vill minska tredjelandsrisken.
- Ha en rutin för att hitta och radera en enskild besökares data på begäran.
- Låt jurist eller dataskyddsombud granska din uppställning innan du driftsätter.
Rätt konfigurerade kan både Hotjar och Clarity användas på ett sätt som respekterar besökarnas integritet. Nyckeln är att göra aktiva val kring samtycke, maskning och lagring i stället för att lita på standardinställningarna. Vill du jämföra verktygen närmare kan du läsa vår genomgång av Hotjar mot Microsoft Clarity.
Senast faktagranskad: 17 juli 2026
