QualiBooth

compliance

Hvad GDPR lærte os om EAA

European Accessibility Act følger samme håndhævelsessti som GDPR gjorde. Hvis din organisation lærte GDPR på den hårde måde, er her, hvordan du undgår at gentage det.

5 min read QualiBooth
Et EU-flag foran en europæisk regeringsbygning, der repræsenterer EU's digitale regulering.

Vi har været her før

I 2018 trådte GDPR i kraft, og reaktionen fra de fleste organisationer fulgte et forudsigeligt forløb. En periode med næsten fuldstændig tavshed. Derefter, i takt med at fristen nærmede sig, et kapløb. Derefter, da håndhævelsen faktisk kom, ægte hastværk og et forsøg på at blive compliant på en tidslinje, der var langt kortere, end den burde have været.

European Accessibility Act er på samme kurs. Fristen — den 28. juni 2025 — er overskredet. Håndhævelsen er i gang. Og de organisationer, der behandlede tilgængelighed som et “det tager vi os af på et tidspunkt”-anliggende, opdager nu, at det tidspunkt er kommet.

Hvis du gennemgik GDPR, vil meget af det følgende føles velkendt.

Hvad de har til fælles

En overholdelsesfrist, som de fleste organisationer overskred

Da GDPR trådte i kraft i maj 2018, viste undersøgelser, at et flertal af EU’s virksomheder ikke var compliant — i nogle rapporter var tallet over 60 %. Historien med EAA ser lignende ud. Forskning offentliggjort kort før fristen i juni 2025 viste konsekvent, at kun en lille brøkdel af de virksomheder, der er omfattet af loven, havde opnået meningsfuld overholdelse.

Begge love deler det samme grundlæggende mønster: en lang indkøringsperiode, hvor de fleste organisationer tager begrænset handling, efterfulgt af et opbud af aktivitet, når fristen nærmer sig, efterfulgt af løbende håndhævelse for dem, der ikke handlede hurtigt nok.

Et territorialt anvendelsesområde, som mange virksomheder undervurderede

GDPR gælder for enhver organisation, der behandler data om EU-borgere, uanset hvor organisationen er baseret. EAA fungerer på samme måde: hvis dit digitale produkt eller din digitale tjeneste sælges til kunder i EU, og din organisation opfylder størrelsestærsklerne (mere end 10 medarbejdere og mere end €2 million i omsætning), skal du overholde reglerne — uanset om du har hovedkvarter i München eller San Francisco.

Mange ikke-EU-virksomheder blev overraskede over GDPR’s rækkevidde. Det samme sker med EAA.

En sanktionsramme med rigtige tænder

GDPR’s bøder — op til 4 % af den globale årlige omsætning eller €20 million, alt efter hvad der er højest — kom på forsiderne. Organisationer fandt sig selv i den modtagende ende af bøder på flere millioner euro for fejl, der i mange tilfælde kunne have været undgået.

EAA-sanktioner fastsættes på nationalt niveau, så de varierer på tværs af medlemsstater. Men de er ikke ubetydelige. Både Italien og Frankrig giver mulighed for bøder i størrelsesordenen titusinder af euro pr. overtrædelse. Tysklands implementering af Barrierefreiheitsstärkungsgesetz (BFSG) indeholder betydelige sanktioner. Og i modsætning til GDPR, hvor mange overtrædelser blev opdaget gennem databrud eller klager, er tilgængelighedsfejl synlige for enhver, der besøger dit website med en skærmlæser — hvilket inkluderer de interesseorganisationer for handicappede, der indgiver tilgængelighedsklager.

Hvor EAA adskiller sig fra GDPR

Tilgængelighedsovertrædelser er synlige udefra

GDPR-overtrædelser krævede ofte en klage fra en insider eller en underretning om brud for at komme frem i lyset. Tilgængelighedsfejl kan opdages offentligt. Enhver kan åbne dit website, køre en automatisk scanning eller teste det med en skærmlæser og dokumentere, hvad de finder. Interesseorganisationer for handicappede gør netop dette, systematisk.

Det betyder, at puljen af potentielle klagere er meget større, og barrieren for at indgive en klage er meget lavere. Du behøver ikke adgang til interne systemer eller lækkede dokumenter. Du skal blot bruge en browser.

Den tekniske standard er allerede specificeret

GDPR krævede, at organisationer implementerede “passende tekniske og organisatoriske foranstaltninger” til at beskytte data — en standard, der bevidst var vag for at give plads til teknologisk forandring. EAA specificerer en konkret teknisk standard: EN 301 549, som henviser til Web Content Accessibility Guidelines (WCAG 2.1/2.2) på niveau AA.

Denne klarhed er et tveægget sværd. På den ene side ved organisationer præcis, hvad de skal opnå. På den anden side gør det det nemt at påvise manglende overholdelse — automatiserede værktøjer kan generere en detaljeret overtrædelsesrapport på få sekunder.

Tidlig håndhævelse er allerede i gang

GDPR havde et relativt stille første håndhævelsesår, før de store bøder kom. EAA-håndhævelsen bevæger sig hurtigere. Franske myndigheder begyndte at udstede meddelelser til store detailhandlere kort efter fristen. En domstol i Paris afsagde dom i en sag om tilgængeligheden af en skoleplatform, der omfattede potentielle bøder på €25,000 om året. Interesseorganisationer på tværs af EU-medlemsstater indgiver aktivt klager.

GDPR-læringerne der gælder for EAA

”Vi bliver compliant, før håndhævelsen når os” er ikke en strategi

Mange organisationer foretog denne beregning med GDPR og fandt ud af, at håndhævelsen var hurtigere og mere målrettet, end de havde forventet. Tilgængelighedsklager indgives nu. De organisationer, der kommer på forkant med dette, er dem, der begynder at auditere og udbedre, før de modtager en formel meddelelse.

Dokumentation betyder lige så meget som den tekniske rettelse

GDPR krævede, at organisationer førte optegnelser over behandlingsaktiviteter, konsekvensanalyser vedrørende databeskyttelse og dokumentation for samtykke. EAA kræver tilgængelige platforme og, i mange nationale implementeringer, tilgængelighedserklæringer, der dokumenterer aktuelle overensstemmelsesniveauer, kendte undtagelser og kontaktmekanismer, som brugere kan bruge til at rapportere barrierer.

At have en tilgængelighedserklæring, der nøjagtigt afspejler din aktuelle tilstand — og at kunne demonstrere løbende forbedring — er meningsfuld dokumentation for overholdelse i god tro.

Overholdelse er en proces, ikke et projekt

GDPR-fælden i tankegangen var at behandle overholdelse som et flueben: hyr et juridisk team, opdatér privatlivspolitikken, tilføj cookiebannere, færdig. Mange organisationer stoppede derefter — kun for at opdage, at de skulle genbesøge deres overholdelse, når de lancerede nye produkter eller opdaterede eksisterende.

Tilgængelighed fungerer på samme måde. Hver ny funktion, hver tredjepartskomponent, hver designfornyelse kan introducere nye barrierer. Bæredygtig overholdelse kræver, at du integrerer tilgængelighed i dine udviklings- og indholdsarbejdsgange og ikke behandler det som en engangsudbedring. Vores guide om tilgængelighed i softwareudviklingens livscyklus beskriver, hvordan dette ser ud i praksis.

Start med en baseline

Før du kan planlægge udbedring, skal du forstå, hvor du står lige nu. Det betyder at køre en audit — både automatisk og manuel — for at dokumentere fejlene, prioritere dem efter virkning og hyppighed og skabe en realistisk udbedringsplan.

Hvis du endnu ikke har gjort dette, er det hurtigste udgangspunkt en gratis automatisk scanning, der giver dig et øjeblikkeligt billede af de overtrædelser, der kan automatiseres. For det fulde billede — inklusive de omtrent 60-70 % af barriererne, som automatiserede værktøjer ikke kan registrere — er manuel test udført af mennesker, der bruger hjælpeteknologi, nødvendig.

De organisationer, der håndterede GDPR godt, ventede ikke på håndhævelse. De vurderede deres position, lagde en plan og eksekverede den med samme hastværk, som de ville anvende på enhver anden væsentlig forretningsrisiko. EAA fortjener samme behandling.

Find ud af om dit website opfylder EAA-kravene