QualiBooth

compliance

Vad GDPR lärde oss om EAA

European Accessibility Act följer samma tillsynsväg som GDPR gjorde. Om din organisation lärde sig GDPR den hårda vägen, här är hur du inte upprepar det.

5 min read QualiBooth
En EU-flagga framför en europeisk regeringsbyggnad, som representerar EU:s digitala reglering.

Vi har varit här förut

År 2018 trädde GDPR i kraft och reaktionen från de flesta organisationer följde en förutsägbar bana. En period av nästan total tystnad. Sedan, när tidsfristen närmade sig, en panikartad rusning. Sedan, när tillsynen faktiskt kom, genuin brådska och en kapplöpning mot att bli förenlig med kraven på en tidslinje som var mycket kortare än den borde ha varit.

European Accessibility Act är på samma bana. Tidsfristen — den 28 juni 2025 — har passerat. Tillsynen pågår. Och de organisationer som behandlade tillgänglighet som en “vi tar det så småningom”-fråga upptäcker nu att så småningom har kommit.

Om du gick igenom GDPR kommer mycket av det följande att kännas bekant.

Vad de har gemensamt

En efterlevnadsfrist som de flesta organisationer missade

När GDPR trädde i kraft i maj 2018 visade undersökningar att en majoritet av EU-företagen inte uppfyllde kraven — i vissa rapporter var siffran över 60 %. Bilden med EAA ser liknande ut. Forskning som publicerades kort före tidsfristen i juni 2025 visade genomgående att endast en liten andel av de företag som omfattas av lagen hade uppnått meningsfull efterlevnad.

Båda lagarna delar samma grundläggande mönster: en lång inledningsperiod under vilken de flesta organisationer vidtar begränsade åtgärder, följt av en rusning av aktivitet när tidsfristen närmar sig, följt av pågående tillsyn för dem som inte agerade tillräckligt snabbt.

En territoriell räckvidd som många företag underskattade

GDPR gäller för varje organisation som behandlar uppgifter om EU-invånare, oavsett var organisationen är baserad. EAA fungerar på liknande sätt: om din digitala produkt eller tjänst säljs till kunder i EU, och din organisation uppfyller storlekströsklarna (fler än 10 anställda och mer än 2 miljoner euro i omsättning), behöver du uppfylla kraven — oavsett om du har huvudkontor i München eller San Francisco.

Många företag utanför EU blev överraskade av GDPR:s räckvidd. Samma sak händer med EAA.

En sanktionsram med verkliga tänder

GDPR:s böter — upp till 4 % av den globala årliga omsättningen eller 20 miljoner euro, beroende på vilket som är högst — skapade rubriker. Organisationer fann sig själva på mottagande sidan av mångmiljonsanktioner för brister som i många fall var möjliga att förebygga.

EAA-sanktioner fastställs på nationell nivå, så de varierar mellan medlemsstater. Men de är inte triviala. Både Italien och Frankrike föreskriver böter i storleksordningen tiotusentals euro per överträdelse. Tysklands implementering av Barrierefreiheitsstärkungsgesetz (BFSG) inkluderar betydande sanktioner. Och till skillnad från GDPR, där många överträdelser upptäcktes genom dataintrång eller klagomål, är tillgänglighetsbrister synliga för alla som besöker din webbplats med en skärmläsare — vilket inkluderar de intresseorganisationer för funktionsnedsatta som lämnar in tillgänglighetsklagomål.

Där EAA skiljer sig från GDPR

Tillgänglighetsbrister är synliga utifrån

GDPR-överträdelser krävde ofta ett klagomål från en insider eller en anmälan om intrång för att komma i dagen. Tillgänglighetsbrister är offentligt upptäckbara. Vem som helst kan öppna din webbplats, köra en automatiserad skanning eller testa den med en skärmläsare och dokumentera vad de hittar. Intresseorganisationer för funktionsnedsatta gör exakt detta, systematiskt.

Det innebär att gruppen potentiella klagande är mycket större, och tröskeln för att lämna in ett klagomål är mycket lägre. Du behöver inte tillgång till interna system eller läckta dokument. Du behöver bara en webbläsare.

Den tekniska standarden är redan specificerad

GDPR krävde att organisationer skulle genomföra “lämpliga tekniska och organisatoriska åtgärder” för att skydda uppgifter — en standard som medvetet var vag för att möjliggöra teknisk förändring. EAA specificerar en konkret teknisk standard: EN 301 549, som hänvisar till Web Content Accessibility Guidelines (WCAG 2.1/2.2) på nivå AA.

Denna tydlighet är ett tveeggat svärd. Å ena sidan vet organisationer exakt vad de behöver uppnå. Å andra sidan gör det det enkelt att påvisa bristande efterlevnad — automatiserade verktyg kan generera en detaljerad överträdelserapport på sekunder.

Tidig tillsyn pågår redan

GDPR hade ett relativt tyst första år av tillsyn innan de stora böterna kom. EAA-tillsynen rör sig snabbare. Franska myndigheter började utfärda förelägganden till stora återförsäljare kort efter tidsfristen. En domstol i Paris avgjorde ett ärende om tillgänglighet på en skolplattform som inkluderade potentiella böter på 25 000 euro per år. Intresseorganisationer i EU:s medlemsstater lämnar aktivt in klagomål.

GDPR-lärdomarna som gäller för EAA

”Vi blir förenliga innan tillsynen når oss” är inte en strategi

Många organisationer gjorde denna kalkyl med GDPR och fann att tillsynen var snabbare och mer riktad än de förväntade sig. Tillgänglighetsklagomål lämnas in nu. De organisationer som ligger steget före är de som börjar granska och åtgärda innan de får ett formellt föreläggande.

Dokumentation är lika viktig som den tekniska åtgärden

GDPR krävde att organisationer skulle föra register över behandlingsaktiviteter, konsekvensbedömningar avseende dataskydd och bevis på samtycke. EAA kräver tillgängliga plattformar och, i många nationella implementeringar, tillgänglighetsredogörelser som dokumenterar aktuella överensstämmelsenivåer, kända undantag och kontaktmekanismer för användare att rapportera hinder.

Att ha en tillgänglighetsredogörelse som korrekt återspeglar ditt nuvarande läge — och att kunna påvisa löpande förbättring — är ett meningsfullt bevis på efterlevnad i god tro.

Efterlevnad är en process, inte ett projekt

GDPR-tankefällan var att behandla efterlevnad som en ruta att bocka av: anlita ett juridiskt team, uppdatera integritetspolicyn, lägg till cookie-banners, klart. Många organisationer stannade sedan upp — bara för att upptäcka att de behövde se över sin efterlevnad när de lanserade nya produkter eller uppdaterade befintliga.

Tillgänglighet fungerar på samma sätt. Varje ny funktion, varje tredjepartskomponent, varje designuppdatering kan introducera nya hinder. Hållbar efterlevnad kräver att tillgänglighet integreras i dina utvecklings- och innehållsarbetsflöden, inte att den behandlas som en engångsåtgärd. Vår guide om tillgänglighet i mjukvaruutvecklingens livscykel täcker hur detta ser ut i praktiken.

Börja med en utgångspunkt

Innan du kan planera åtgärder behöver du förstå var du står i dagsläget. Det innebär att köra en granskning — både automatiserad och manuell — för att dokumentera bristerna, prioritera dem efter effekt och frekvens och skapa en realistisk åtgärdsplan.

Om du inte har gjort detta ännu är den snabbaste startpunkten en gratis automatiserad skanning, som ger dig en omedelbar bild av de automatiserbara överträdelserna. För den fullständiga bilden — inklusive de ungefär 60–70 % av hindren som automatiserade verktyg inte kan upptäcka — är manuell testning av personer som använder hjälpmedel nödvändig.

De organisationer som hanterade GDPR väl väntade inte på tillsynen. De bedömde sin position, gjorde en plan och genomförde den med samma brådska som de skulle tillämpa på vilken annan väsentlig affärsrisk som helst. EAA förtjänar samma behandling.

Ta reda på om din webbplats uppfyller EAA-kraven