Webperf
“If regulators examined your website tomorrow, would the technical behaviour match what your consent banner promises?”
– Brian Clifton
Intro
Hej!
Ett öppet brev har skickats till utrikesminister Maria Malmer Stenergard ställer sju konkreta frågor om vad Sveriges anslutning till det amerikanska AI-initiativet Pax Silica faktiskt innebär och efterlyser den öppenhet och offentliga debatt som hittills saknats. Om du delar oron kan du visa ditt stöd genom att skriva under brevet på nedan länk.
→ Stöd brevet till utrikesministern
Om du tror att en vän eller kollega skulle uppskatta detta nyhetsbrev, ja skicka dem då den här länken så kan de påbörja sin egen prenumeration.
Allt gott
/Webperf crew
Hoppa till avsnitt:
- Tredjepartsresurser gör din webbplats sårbar
- Tillgänglighetslagen har fått tänder
- Respekterar svenska företag ditt val att avvisa spårning?
- Språkmodeller i webbanalysen, nyttigt men inte magi
- Vilka webbar var bäst i mars?
Tredjepartsresurser gör din webbplats sårbar
De flesta webbplatser laddar in resurser från externa tjänster, till exempel typsnitt, JavaScript-bibliotek och verktyg för cookie-hantering. Det är bekvämt och ibland nödvändigt. Men Paul Calvano, prestandaarkitekt på Etsy, visar i sin analys att dessa tredjepartsresurser också innebär en konkret risk. Om en extern tjänst drabbas av avbrott eller fördröjning kan det i värsta fall lamslå hela webbplatsen, särskilt när resurserna är renderingsblockerande. Enligt data från HTTP Archive i december 2025 laddar närmare 68 procent av de undersökta webbplatserna minst en renderingsblockerande tredjepartsresurs.
Problemet är välkänt sedan över femton år (för oss som minns Facebooks gilla-knapp från förr), men omfattningen visar att branschen ännu inte tagit det på tillräckligt stort allvar. Calvano lyfter flera historiska exempel, bland annat Polyfill.io som efter ett ägarbyte 2024 användes för att sprida skadlig kod till hundratusentals webbplatser. Han pekar också på att över 25 000 sajter fortfarande hämtar resurser från RawGit, en tjänst som meddelade sin nedstängning redan 2018. Det handlar i grunden om ansvar och att ha kontroll över det man levererar till sina besökare.
Artikeln går igenom flera konkreta metoder för att testa och upptäcka dessa sårbarheter, från WebPageTest och Chrome DevTools till verktyg som DebugBear och Lighthouse. En enkel men effektiv princip genomsyrar hela texten och problemet är tyvärr lika relevant nu som för femton år sedan. Drifta kritiska resurser själv i så stor utsträckning som möjligt, och testa regelbundet vad som händer ifall en extern tjänst slutar svara.
→ Third Parties and Single Points of Failure
Tillgänglighetslagen har fått tänder
Den europeiska tillgänglighetslagen, European Accessibility Act, trädde i kraft den 28 juni 2025. Den har alltså inte ens fyllt ett år, men redan nu syns tydliga tecken på att tillsynsmyndigheterna i flera länder menar allvar. I Nederländerna förbereder man granskningar av företag som inte ens besvarade myndighetens krav på rapportering. I Frankrike har organisationer som organiserar funktionsnedsatta stämt fyra stora dagligvarukedjor för bristande tillgänglighet i deras digitala tjänster. I Tjeckien planerar man att offentliggöra listor över produkter och tjänster som inte uppfyller kraven.
I Sverige har Post- och telestyrelsen, PTS, inlett sin första tillsyn med fokus på e-handlare. Granskningen riktar sig mot större aktörer som säljer produkter via nätet och omfattar i nuläget webbplatsernas startsidor, produktsidor och sökfunktioner. PTS meddelar att tillsynen av e-handelstjänster kommer att fortsätta stegvis under 2026, och att fler företag kan komma att omfattas längre fram. Det är en tydlig signal om att lagen inte bara finns på papperet.
Det är lätt att konstatera att det verkar krävas just tillsyn för att organisationer ska ta tillgänglighetskraven på allvar. Erfarenheterna från bland annat Nederländerna visar att det finns ett stort gap mellan lagstiftningens ambitioner och den faktiska mognaden i branschen. Frivillighet och goda intentioner har inte räckt för att skapa verklig förändring. Nu när myndigheterna i land efter land börjar agera finns det all anledning att se över sin egen verksamhet. Inte i morgon utan nu. Kraven är inte nya och de är inte orimliga, de handlar om att digitala tjänster ska fungera för alla.
→ PTS inleder en tillsyn av e-handelstjänster (Post- och Telestyrelsen, 2025)
Respekterar svenska företag ditt val att avvisa spårning?
Brian Clifton, bland annat tidigare ansvarig för webbanalys på Google i EMEA, har publicerat ett whitepaper där han granskar hur väl 40 stora svenska webbplatser faktiskt respekterar besökarens val att avvisa spårning. Metoden är enkel och konkret. En automatiserad process klickar på "Avvisa alla" i cookiebannern, navigerar sedan 25 sidor på webbplatsen och loggar alla nätverksanrop och cookies som sätts trots att besökaren sagt nej. Resultatet visar att på 23 av de 40 granskade webbplatserna laddades spårningstekniker, bland annat Google Analytics och reklamspårningspixlar, trots att samtycke nekats.
Clifton är tydlig med att bristerna sannolikt inte beror på illvilja. Problemet är snarare systemiskt. Olika team inom en organisation ansvarar för olika delar av den tekniska kedjan, från samtyckesbanner till tagghanterare till marknadsföringsverktyg, och ingen äger hela flödet. Det räcker att en tagg konfigureras utan koppling till samtyckessignalen för att spårning ska ske utan någon rättslig grund. En samtyckesbanner fångar besökarens val men den säkerställer inte att valet verkligen genomdrivs rent tekniskt.
Studien namnger inga enskilda organisationer och syftar inte till att hänga ut någon. Poängen är att synliggöra ett vanligt mönster och visa att det går att åtgärda. Clifton lyfter fram lösningar som regelbunden teknisk granskning, tydligt ägarskap över samtyckeflödet och att spårningsskript ska vara avaktiverade som standard tills samtycke faktiskt ges. Rapporten är fritt tillgänglig utan registrering och kan säkert vara ett bra diskussionsunderlag för de flesta. Om inte annat för att säkerställa att man redan har koll på läget.
Det är värt att påminna om att tillsynsmyndigheterna i Europa blir allt mer aktiva. Franska CNIL bötfällde nyligen Shein med 150 miljoner euro för bristande samtyckehantering. I Sverige har Avanza Bank, Apoteket och Apohem fått kännbara sanktioner på många miljoner. Frågan som Clifton ställer är rakt på sak och relevant för alla som driver digitala tjänster. Om en tillsynsmyndighet granskade din webbplats i morgon, skulle det tekniska beteendet stämma överens med vad din cookiebanner utlovar?
→ Are Swedish Companies Respecting Your Choice to Reject Tracking? (Brian Clifton)
Språkmodeller i webbanalysen, nyttigt men inte magi
Det händer saker i skärningen mellan AI och webbanalys just nu. Model Context Protocol, eller MCP, är en öppen standard som gör det möjligt för AI-assistenter att ansluta direkt till analysverktyg och hämta data. Matomo har nyligen släppt ett officiellt plugin för just detta, och även Google Analytics och Piwik Pro har MCP-stöd på plats. I praktiken innebär det att man kan ställa frågor på vanlig svenska till en AI-assistent och få svar baserade på sin faktiska webbanalysdata, utan att behöva logga in och navigera runt i rapportgränssnittet. Tanken är säkert tilltalande för många och det fungerar redan i grundläggande scenarier.
Men det är värt att hålla förväntningarna på en rimlig nivå. Att en språkmodell kan sammanställa siffror snabbt och presentera dem i läsbar form är genuint användbart, men det är inte samma sak som att den förstår vad siffrorna betyder. En erfaren analytiker ser direkt om en trafikökning beror på ett mätfel, en säsongsvariation eller en kampanj som slog igenom. En språkmodell saknar förståelse för ert sammanhang och kan dra knepiga slutsatser från mönster som ser övertygande ut men inte håller vid närmare granskning. Det finns också en risk att man börjar lita på sammanställningar utan att kontrollera om den underliggande datakvaliteten håller måttet.
Det som gör MCP intressant är inte att det revolutionerar analysen i sig, utan att det gör tillgången till data mer flexibel. Idén att sluta betrakta analysverktyg som gränssnitt att logga in på och istället se dem som datakällor att integrera mot har funnits länge, men MCP ger den idén en konkret och standardiserad form. Det blir enklare att kombinera data från flera verktyg, att bygga egna rapportflöden och att göra analysdata tillgänglig för fler i organisationen utan att alla behöver lära sig ett nytt gränssnitt. Säkerhetsmodellen i exempelvis Matomos plugin är genomtänkt, med MCP avstängt som standard och behörigheter som följer befintlig åtkomststyrning.
Det här är värt att utforska och experimentera med, särskilt om man redan använder Matomo eller något annat verktyg med MCP-stöd. Men det ersätter varken den kritiska blicken eller den analytiska erfarenheten. Se det som ett effektivare sätt att hämta och presentera data, inte som en genväg förbi det arbete som krävs för att faktiskt förstå den.
→ Matomo får officiellt stöd för Model Context Protocol (Webperf)
Så vem var bäst i mars 2026?
- Politiska partier – Moderaterna först av riksdagspartierna, följt av Miljöpartiet och Kristdemokraterna.
- Svenska kommuner – Eskilstuna först som vanligt, Älvsbyn på andra och Hedemora på tredje.
- Svenska regioner – Region Skåne fortsätter hålla förstaplatsen, Region Stockholm på andra och tredje till Västra Götalandsregionen.
- Övrig offentlig sektor – delad förstaplats till Havs och Vattenmyndigheten och SCB. Tredje till Institutet för rymdfysik.
- Offentlig sektors webbtjänster – Fritidskortet, Cert.se och Soctanter på nätet.
- Medier – Tidningen Svensk Polis, Sveriges Television och Sveriges Natur.
- Hälso-, sjuk- och tandvård – Södertälje sjukhus, Södersjukhuset och Hitta vård i Skåne.
- Kulturverksamheter – Hälsinglands museum håller förstaplatsen, Eskilstuna stadsmuseum på andra och Stockholms stadsmuseum på tredje.
- Patientorganisationer
- Tankesmedjor och intresseorganisationer – Lokala Partiers Nätverk, SKR och Idéinstitutet Civitas.
- Insamlingsorganisationer
- Fackförbund & professionsföreningar – Bussarbetarnas på förstaplats, Naturvetarna på andra och SEKO på tredje.
- Utbildning och forskning – Örebro universitet håller förstaplatsen, KTH (Kungliga Tekniska högskolan) på andra och Linköpings universitet på tredje.
- IT-bolag och webbyråer - delad förstaplats för Friktion och Factor10. På tredje kommer Webperf.se som först nu har en publik profil.
- Övrigt digitalt – myConf, Nuelab och tredjeplatsen går till Texta mig!
- Bolag ägda av offentlig sektor – Ambulandssjukvården i Storstockholm, Övikshem och Armada Fastighets AB.
- OMX 30 Stockholm – Astra Zeneca passerade Sandvik. Lifco på tredje.
- Svensk turism – Laponia, Visit Flen och tredje till Visit Eskilstuna.
- Svenska och europeiska moln - Berget AI, European alternatives och Safespring toppar i mars också.
- Samhällsservice – Agria djurförsäkring, Blå stjärnan och Klostergårdens Apotek.
- Ehandel – Adlibris, Proshop och på tredje hittar vi Bokbörsen.
- Banktjänster – Ica Banken dominerar, Klarna och Skandiabanken.
- Biljettförsäljning och trafikinformation om persontransporter – Västtrafik, Krösatågen och Fjord Line.
- Internet- och telekom-abonnemang – QuickNet, Vimla och Telenor.
- Playtjänster för tv- och radiokanaler
- Bibliotekskataloger och plattformar som distribuerar e-böcker
- Webbversioner av kommunikationslösningar
- Hjälpsidor för andra produkter och tjänster
- A-kassor – A-kassan Vision, Sekos a-kassa och Fastighets A-kassa
- Idrottsorganisationer – Svenska Cricketförbundet, andraplatsen får Isseglarförbundet och tredje till Fotbollsförbundet.
- Arbetsgivarorganisationer – SKR, Arbetsgivaralliansen och Energiföretagens arbetsgivareförening.
- All offentlig sektor i mars – Eskilstuna före Örebro universitet. Tredjeplatsen delas av Havs och Vattenmyndigheten, Älvsbyns kommun och SCB. Kungliga Tekniska Högskolan (KTH) är precis bakom och får en sjätteplats.
Avslutningsvis…
Vi har en Slack-kanal öppen för vem som helst. Där diskuterar vi kvalitetskriterier som Webperf använder, ger support till varandras strävan att bygga bra webbplatser, bland annat:
- Om du inte redan är med på Webperfs Slack kan du fixa dig en inbjudan
- Du som redan är med på Webperfs Slack kan gå hit för att logga in
Letar du efter något att läsa?
Gratisböcker:
- Webbanalys – förstå och förbättra användarnas upplevelse – finns för läsning på Webperf och gratis att ladda ner bland annat hos Apple och Smashwords.
- Webbstrategi för alla – läs direkt på nätet eller ladda ner från Apple Books och Smashwords
- Designing for Performance – läses gratis på webben. Utmärkt bok skriven av Lara Callender Hogan.
- High Performance Browser Networking – för dig som verkligen vill grotta ner dig i tekniska detaljer för att uppnå hög prestanda. Skriven av Ilya Grigorik.
- Animation in Design Systems av Val Head
- The Magic of CSS av Adam Schwartz
- Resilient Web Design av Jeremy Keith
- Javascript for Web Designers av Mat Marquis
- You Don’t Know JS av Kyle Simpson
- Learn to Code HTML & CSS av Shay Howe
- Designing for the Web av Mark Boulton
- Eloquent JavaScript av Marijn Haverbeke
- On Web Typography av Jason Santa Maria
- Design for real life av Sara Wachter-Boettcher och Eric Meyer
- Flexible Typesetting av Tim Brown
- Going offline av Jeremy Keith
- Practical SVG av Chris Coyier
- Accessibility For Everyone av Laura Kalbag
Och missa inte Authors Apart!
Om du gillade detta nyhetsbrev får du gärna fundera på om du känner någon som borde prenumerera. Skicka dem denna länk för att anmäla sig till nyhetsbrevet i så fall!
