Denne artikkelen er skrevet for personen som har ansvar for personvern i et selskap som bruker HubSpot.
Kanskje du er IT-sjefen, compliance-ansvarlig, CISO, økonomidirektøren som leder utvalget som skal bestemme hvilket CRM selskapet skal velge.
Det ærlige svaret er at det er mulig å overholde HubSpots GDPR-krav for de aller fleste europeiske B2B-bruksområder - forutsatt at du behandler plattformen som et system som ikke blir satt opp en gang og glemt.
1. HubSpot GDPR-samsvar er oppnåelig for de fleste europeiske B2B-bruksområder, men plattformen må styres, ikke bare konfigureres. Det som i praksis hindrer samsvar, er fraværet av en TIA, en dokumentert oppbevaringsregel og et revisjonsspor rundt produktet.
2. HubSpot opererer i tre juridiske roller: databehandler, uavhengig behandlingsansvarlig og behandlingsansvarlig ved siden av kunden. Den tredje rollen aktiveres når du bruker Breeze Intelligence eller har aktivert datadeling av Tracking Code Intent - sistnevnte aktiveres automatisk 1. desember 2024, med mindre du aktivt har valgt det bort. Bekreft det i portalen din i dag.
3. Overføringsrisikoen reduseres ved hjelp av en lagdelt mekanisme. EU-US Data Privacy Framework (HubSpot-deltaker-ID 5812) er det primære; 2021 SCCs ligger under som Schrems-III fallback. Du må fortsatt kjøre din egen TIA som dekker FISA 702, EO 12333, EO 14086 og gjenværende CLOUD Act-eksponering.
4. EU-hosting i Frankfurt er gratis, selvbetjent og tar rundt 8 timer, men det dekker ikke alt. Telemetri, supportaktivitet og flere underprosessorer for funksjoner (Twilio, Stripe, Litmus, Mux, WhatsApp, OpenAI) strømmer til USA uavhengig av vertsregionen din.
5. HubSpot er ikke ISO 27001-sertifisert i seg selv - det er kun AWS-infrastrukturen under som er det. SOC 2 Type II er den primære uavhengige sertifiseringen. BSI C5 og TISAX er heller ikke sertifisert. Dokumenter gapet og sørg for at ledelsen aksepterer risikoen hvis retningslinjene dine krever ISO 27001.
6. HubSpots egenskap for lovlig grunnlag er et dokumentasjonslag, ikke et juridisk lag. Å velge "Legitim interesse - Lead" i en nedtrekksmeny skaper ikke en legitim interesse - det gjør bare en dokumentert LIA. Det samme gjelder for cookie-banneret: "Notification"-modus er kun informativ og ikke GDPR/ePrivacy-gyldig i EU-markeder.
7. NIS2, DORA, EUs AI-lov og EUs datalov er de regulatoriske lagene for 2024-2026 som styret ditt bør orienteres om. Det finnes ikke noe offentlig HubSpot DORA-tillegg ennå - kunder i finanssektoren bør ta opp samtalen skriftlig i forbindelse med neste fornyelse.
HubSpot har gjort betydelig mer enn de fleste SaaS-leverandører med hovedkontor i USA for å være forsvarlige i Europa: en kontrasignert DPA, EU-hosting i Frankfurt siden 2021, doble overføringsmekanismer (EU-US DPF pluss 2021 SCC), en publisert liste over underbehandlere med 30-dagers varsel og et detaljert sett med personvernverktøy inne i produktet.
Det har også hull. Vi setter navn på dem.
Denne veiledningen gir deg den mentale modellen, hva du bør verifisere i din egen portal denne uken, land-for-land-egenskapene for B2B-e-post, de nyeste regelverkene (NIS2, DORA, AI Act, tilbaketrekking av ePrivacy-forordningen) du bør informere styret om, og en 20-punkts sjekkliste for styring som du kan gi til revisjonen.
For leseren som bare har tid til bunnlinjen:
Det som fungerer i HubSpots favør. HubSpot publiserer en gjeldende DPA på legal.hubspot.com/dpa med 2021 EU SCCs, UK Addendum (IDTA) og sveitsiske modifikasjoner. EU-kunder kan hoste sin kjerne-CRM i Frankfurt uten ekstra kostnad via en selvbetjent migrering som vanligvis fullføres på 8 timer.
HubSpot er sertifisert i henhold til EU-US Data Privacy Framework (deltaker-ID 5812), med UK Extension og Swiss-US DPF som også er aktive. SOC 2 Type II revideres årlig, med en offentlig SOC 3-oppsummering.
Selve produktet leveres med de kontrollene du forventer: personverninnstillinger, administrasjon av samtykke til informasjonskapsler, abonnementstyper, lovlige grunnlagsfelt, dobbelt opt-in, en portal for personvernforespørsler og et API for permanent sletting.
Hva endres i 2026? Tre ting gjør plattformen betydelig mer forsvarlig enn den var for to år siden: de fire nye datasentrene som ble satt i drift 4. februar 2025 (Montreal, Sydney, Oregon, pluss Frankfurt siden 2021), HubSpots frivillige videreføring av den doble DPF + SCC-mekanismen som Schrems-III-forsikring, og AI Trust-forpliktelsene som ble publisert sammen med Breeze-pakken (ingen opplæring i kundedata, AI som arver portaltillatelser, behandling i kundens datasenterregion).
Det som ikke forsvinner. HubSpot er ikke ISO 27001-sertifisert - det er bare den underliggende AWS-infrastrukturen som er det. Det finnes ikke noe kundestyrt nøkkelalternativ (ingen BYOK). Selv kontoer som hostes i Frankfurt har telemetri, supportaktivitet og flere underprosessorer for funksjoner (Twilio, Stripe, Litmus, Mux, WhatsApp, Google reCAPTCHA) som sender data til USA.
HubSpots sporingskodes innstilling for "deling av intensjonsdata" aktiveres automatisk 1. desember 2024, med mindre kundene aktivt har reservert seg - noe mange ikke har gjort. Bulk DSAR-sletting er kun API. DPA-en er bundet av en referanse, noe som innkjøpsteam sjelden aksepterer uten videre.
Slik bør de neste 90 dagene se ut. Kontroller intensjonsinnstillingen for sporingskoden. Abonner på varsler om endring av underprosessorer. Hent den nyeste SOC 2 Type II via Trust Center. Dokumenter en TIA som dekker FISA 702, EO 12333 og CLOUD Act-eksponering. Bekreft vertsregionen.
Konfigurer informasjonskapselbanner i opt-in-modus. Fyll ut felt for lovlig grunnlag. Definer en oppbevaringsregel. Hvis du jobber med finansielle tjenester, bør du starte DORA artikkel 30-samtalen med kontoteamet ditt skriftlig - det finnes ikke noe offentlig tillegg ennå.
Dette er sammendraget. Resten av denne artikkelen handler om det som ligger bak.
Det første du må forstå er at HubSpot ikke bare er din databehandler.
Personvernforordningen etablerer en tredelt rollefordeling. HubSpot fungerer som databehandler når du bruker abonnementstjenestene - CRM, Marketing, Sales, Service, Content, Operations og Commerce Hubs - til å behandle kontaktdata. HubSpot opptrer som en uavhengig behandlingsansvarlig når enkeltpersoner samhandler direkte med HubSpot selv (besøker hubspot.com, deltar på arrangementer, melder seg på prøveperioder), med HubSpot Ireland Limited som behandlingsansvarlig for enkeltpersoner i EØS og Storbritannia.
Og - dette er den delen de fleste kunder overser - HubSpot blir en uavhengig behandlingsansvarlig sammen med deg i to spesifikke scenarier: når du bruker Breeze Intelligence-berikelse, og når du bruker HubSpot Tracking Code med Intent-datadelingsknappen aktivert.
Det andre scenariet er viktigere enn det høres ut. Den 18. september 2024 publiserte HubSpot en Legal Stuff-oppdatering som ga kunder frem til 1. desember 2024 til å velge bort deling av Intent-data fra Tracking Code. Etter denne datoen aktiveres bryteren automatisk.
Resultatet: Mange EU-portaler er nå i en utilsiktet Controller-to-Controller-dataflyt med HubSpot, uten at de som er ansvarlige for samsvar vet det. Dette er det første du må bekrefte i kontoen din. Innstillinger → Sporing og analyse → Sporingskode → Intensjon.
DPA-en er innlemmet som referanse i Kundevilkårene §5.4 - det er ingen separat signaturseremoni. HubSpot publiserer en kontrasignert PDF datert 3. september 2025 (signert av Nicholas Knoop, HubSpots DPO).
De fleste innkjøps- og leverandørrisikoteam vil ha sin egen kontrasignerte kopi til filen. Vi anbefaler å gjøre det, selv om det ikke tilfører noe juridisk - det gjør revisjonssporet ditt renere og sparer deg for en vanskelig samtale halvannet år senere.
En kontraktsdetalj med operasjonelle konsekvenser: Spesielle kategorier av personopplysninger er eksplisitt ikke omfattet av standard DPA. Klausulen lyder: "Spesielle kategorier av kundepersonopplysninger vil ikke bli behandlet i henhold til denne DPA-en."
Hvis du jobber i helsevesenet eller HR og legger inn artikkel 9-data i en vanlig HubSpot-portal, behandler du data utenfor det som er beskrevet i kontrakten. De separate innstillingene for sensitive data og HIPAA-stien på Enterprise-nivåer (med egne vilkår for sensitive data) er den eneste godkjente ruten. Bekreft dette før en compliance-sensitiv sektor settes i drift.
HubSpot, Inc. har hovedkontor i Cambridge, Massachusetts. Hver dataflyt fra EU til HubSpot er derfor en begrenset overføring i henhold til kapittel V i personvernforordningen, og Schrems II-dommen av 16. juli 2020 (EU-domstolen C-311/18) er det rammeverket som alt annet er basert på.
Schrems II ugyldiggjorde Privacy Shield mellom EU og USA og slo fast at standardkontraktsklausuler bare er gyldige når de kombineres med en vurdering i hvert enkelt tilfelle av om mottakerlandet gir et i hovedsak tilsvarende vern - med fokus på USAs overvåkingslover (FISA §702, EO 12333). EDPBs anbefalinger 01/2020 (endelig 18. juni 2021) operasjonaliserte dette som kravet om vurdering av overføringskonsekvenser.
HubSpots svar er for en gangs skyld nøyaktig det europeiske compliance-ansvarlige ønsker å se: en lagdelt, redundant mekanisme med eksplisitt fallback hvis et enkelt instrument svikter.
Den primære mekanismen er EUs og USAs rammeverk for personvern, som ble vedtatt ved Kommisjonens beslutning om tilstrekkelig beskyttelsesnivå 10. juli 2023 og forankret i Executive Order 14086 (oktober 2022), som innførte nødvendighets- og proporsjonalitetsgarantier og Data Protection Review Court. HubSpots sertifisering (NON-HR scope, regress gjennom EU DPA-panelet, FTC-håndhevelse) er aktiv og kan verifiseres på dataprivacyframework.gov/participant/5812. Det sveitsisk-amerikanske DPF er aktivt ved siden av FDPIC-tilstrekkelighet som trådte i kraft 15. september 2024. Den britiske utvidelsen er aktiv under den britiske "Data Bridge", som trådte i kraft 12. oktober 2023.
Reservemekanismen er EUs standardvilkår for 2021. Datatilsynet bruker modul 2 (behandlingsansvarlig til databehandler) når du er behandlingsansvarlig, modul 3 (databehandler til databehandler) når du er databehandler for dine egne kunder, og modul 1 (behandlingsansvarlig til behandlingsansvarlig) for Breeze- og Tracking Code Intent-strømmene. Klausul 7 om dokking gjelder, klausul 9 alternativ 2 er valgt (generell skriftlig fullmakt for underdatabehandlere), og klausul 17/18 er standard i henhold til irsk lov og irsk DPC. Det britiske tillegget (IDTA versjon B.1.0) og sveitsiske FADP-modifikasjoner er lagt på toppen.
Tilnærmingen med to mekanismer er bevisst. HubSpots DPA §11.1 og §11.2 gjør det klart at hvis DPF blir ugyldiggjort av en fremtidig "Schrems III"-utfordring - og noyb har telegrafert nøyaktig den intensjonen - vil SCCs fortsette å gjelde uten behov for reforhandling. Denne kontinuitetsforsikringen er en av de mer gjennomtenkte delene av HubSpots compliance-strategi.
Nå til den ærlige biten. Tilstrekkelighet får ikke CLOUD Act-eksponeringen til å forsvinne. Den amerikanske CLOUD Act fra 2018 gjør det mulig for amerikanske myndigheter å tvinge en leverandør med hovedkontor i USA til å fremlegge data uansett hvor de er lagret - inkludert i Frankfurt. HubSpot publiserer en Transfer Impact Assessment som tar for seg dette, men den er beskyttet under NDA via Trust Center på Conveyor i stedet for som en offentlig PDF på legal.hubspot.com.
Be om den under anskaffelsen. Ikke hopp over din egen TIA på grunn av HubSpots TIA. TIA-en din må ta for seg FISA §702 (reautorisert i april 2024 for to år), EO 12333, EO 14086-sikkerhetstiltak, dine spesifikke datakategorier og den gjenværende CLOUD Act-eksponeringen.
De supplerende tekniske tiltakene HubSpot tilbyr - TLS 1.2/1.3 med ≥2 048-biters nøkler i transitt, AES-256 i hvile, intern KMS, ingen kundestyrte nøkler - er de viktigste risikoreduserende tiltakene du vil nevne.
Hvis tilsynsmyndighetene i din sektor eksplisitt har stilt spørsmål ved overføringer til USA (deler av tysk offentlig sektor, visse finanstilsyn, enkelte helsemyndigheter), kommer du langt med den doble mekanismen pluss EU-hosting. Det vil ikke gi deg absolutt datasuverenitet, og enhver leverandør - ikke bare HubSpot - som forteller deg noe annet, selger deg noe.
HubSpot lanserte sitt første EU-datasenter i Frankfurt på AWS (eu-central-1) 19. juli 2021. Den 4. februar 2025 ble ytterligere tre sentre satt i drift - Canada (Montreal), Australia (Sydney) og US West (Oregon) - slik at vi nå har fem regionale lokasjoner. US East (Virginia) er fortsatt den globale standarden.
Mekanikken for en EU-kunde i 2026 er enkel:
Selve migreringen er den enkleste delen av den regulatoriske rengjøringen du kommer til å gjøre i løpet av året. Den er tilgjengelig via Kontostandarder → Datahosting på Starter, Professional og Enterprise (gratiskontoer må oppgraderes først). Selvbetjening. Ingen kostnader.
Typisk kjøretid på rundt 8 timer, begrenset til 36 timer med delvis utilgjengelighet, med offentlig tilgjengelige ressurser i drift under hele perioden. Alle arbeidsflyter, rapporter, historiske data og analyser bevares. Du kan planlegge på nytt opptil to dager før migreringsvinduet.
Det er tre forbehold som er verdt å merke seg: sandkasser migreres ikke (du mister dem), HubSpot Payments fjernes hvis du migrerer utenfor USA, og kontoer med sensitive datainnstillinger aktivert kan ikke fortsette uten at kontoteamet er involvert.
Nå kommer den delen som de fleste artikler ikke forteller deg. I henhold til kundevilkårene § 5.5.1 og retningslinjene for regional datahosting, dekker ikke EU-hosting alt. Følgende strømmer rutinemessig utenfor EU, selv når portalen din ligger i Frankfurt:
HubSpots egne tjenestevilkår inneholder ansvarsfraskrivelsen med store bokstaver:
"VI GIR INGEN GARANTI FOR AT EN SPESIFIKK HOSTINGLOKASJON VIL OPPFYLLE DINE KRAV TIL DATATILKNYTNING."
Les det to ganger. EU-hosting løser den primære lagringen av CRM-kjernedata - kontakter, avtaler, markedsføringsressurser, aktivitetslogger, filer. Det er en betydelig reduksjon i overføringsrisikoen. Det er ikke absolutt datasuverenitet, og det eliminerer ikke kapittel V-analysen.
Noen kunder i finanssektoren i EU (i henhold til publiserte Vantage Point- og Huble-analyser) driver bevisst separate EU- og USA-hostede instanser i stedet for å prøve å få en enkelt global portal til å bære begge regelverk.
En annen ting som er verdt å nevne på forhånd: HubSpot er ikke ISO 27001-sertifisert. Det er bare AWS-infrastrukturlaget under som er det. Flere blogginnlegg fra tredjeparter sier noe annet; HubSpot Knowledge Base motsier dem. SOC 2 Type II er HubSpots primære uavhengige attestasjon.
Hvis organisasjonens retningslinjer for leverandørstyring krever direkte ISO 27001, må du enten få lederens aksept for risiko for gapet eller eskalere forespørselen skriftlig til HubSpots kontoteam. BSI C5 (den tyske føderale skysikringsordningen) og TISAX er heller ikke godkjent. For innkjøp i tysk offentlig sektor eller leverandørkjeden i bilindustrien kan dette være en vanskelig stopp.
Rask handling for deg denne uken: Hvis kontoen din ble opprettet før 19. juli 2021 og du aldri har migrert, er du nesten helt sikkert fortsatt på US-East-hosting. Bekreft i Innstillinger → Kontostandarder → Datahosting. Hvis migrering er på bordet, må du sørge for at TIA gjenspeiler flyttingen og oppdatere RoPA tilsvarende.
HubSpots offentlige liste over underdatabehandlere finnes på legal.hubspot.com/sub-processors-page, sist endret 2. februar 2026, og er innlemmet i DPA-en ved henvisning. Abonner på endringsvarsler på legal.hubspot.com/subscribe-subprocessor-updates - dette er ikke til forhandling for ethvert seriøst program for leverandørstyring.
HubSpot forplikter seg til 30 dagers forhåndsvarsel om nye underdatabehandlere, vesentlige endringer eller endringer i land. Kundens rett til å protestere er også 30 dager; hvis ingen løsning oppnås, kan kunden suspendere eller avslutte den berørte tjenesten.
Listen er delt inn i tre kategorier.
Infrastruktur (obligatorisk, EU-hostet).
| Underdatabehandler | Formål | Datasenter i EU |
|---|---|---|
| Amazon Web Services, Inc. | Hosting / infrastruktur | Tyskland |
| Cloudflare, Inc. | CDN, DDoS, DNS | Lokalt rutet |
| Google LLC | Regional databehandling | Tyskland |
| Snowflake Inc. | Datalager | Tyskland |
Disse fire kan ikke velges bort. Alle de fire moderselskapene er registrert i USA, noe som er kilden til den gjenværende CLOUD Act-eksponeringen, selv om selve datasentrene ligger i Frankfurt. TIA-en din må ta opp dette eksplisitt.
Funksjonsspesifikk (valgfritt, avhengig av hva du slår på). Ably (chat - Irland/Tyskland), AWS for AI i EØS, ConvertAPI (Nederland/Tyskland), Google reCAPTCHA, Dropbox eSign (Tyskland), Litmus (USA, forhåndsvisning av e-post), Meta/WhatsApp (USA), Mux (USA, video), OpenAI (EØS og Sveits), Stripe (USA, Commerce Hub-betalinger), Twilio (USA, samtaler og SMS).
Den ærlige lesningen: Selv med EU-hosting aktiv, utløser disse funksjonene hver for seg sine egne USA-overføringer og fortjener sin egen linje i behandlingsregisteret ditt. Hvis du ikke bruker funksjonen, utløser du ikke underprosessoren.
HubSpot-tilknyttede selskaper i IE, DE, AU, SG, JP, CO, SE, FR, UK, BE, CA, ES, NL og IN. Hovedsakelig kundestøtte og teknisk bemanning, regulert av konserninterne dataoverføringsavtaler.
To spesifikke oppfordringer til handling. For det første: Behandle OpenAI som en separat beslutning i stedet for en standard. Aktivering av Breeze AI-funksjoner betyr at OpenAI behandler prompt- og kontekstdata på vegne av HubSpot, med kontraktsmessige begrensninger mot å bruke kundedata til modellopplæring. Denne holdningen er solid - men det er et nytt forhold til en underdatabehandler, og DPIA-screeningen din (se punkt 9 nedenfor) bør gjenspeile dette.
For det andre, når en App Marketplace-integrasjon installeres, har du i praksis lagt til en ny underdatabehandler som ikke har gått gjennom HubSpots kontrollprosess. Tredjeparten har sin egen DPA med deg, ikke med HubSpot. Leverandørrisikoteam overser rutinemessig dette.
HubSpots GDPR-verktøy er virkelig bra for en amerikansk SaaS-leverandør. Det er også mye misforstått, og konsekvensene av misforståelsen har en tendens til å ramme den som signerer artikkel 30-posten.
HubSpot deler lovlig grunnlag inn i to forskjellige lag:
hs_legal_basis. Standardalternativene inkluderer Legitim interesse - Lead, Legitim interesse - Kunde, Legitim interesse - Annet, Utførelse av en kontrakt, Fritt samtykke fra kontakt og Ikke aktuelt. Det er et fritekstfelt for forklaring av lovlig grunnlag ved siden av.En kontakt kan ha grunnlag for å behandle, men ikke for å kommunisere. Med innstillingen Send e-post til kontakter med juridisk grunnlag på (Innstillinger → Personvern og samtykke), vil HubSpot blokkere markedsføringsutsendelser i slike tilfeller. Opptil 1 000 abonnementstyper per konto. Beste praksis er å tilpasse hver abonnementstype til et spesifikt formål - nyhetsbrev, produktoppdateringer, webinarer, kundesuksessoversikt - i stedet for en generisk "markedsføring"-bøtte. En slik tilpasning tilfredsstiller GDPRs krav om spesifisitet og Tysklands Zweckbindung-prinsipp.
Den ærlige delen. HubSpots verktøy er et dokumentasjons- og revisjonslag. Det validerer ikke om grunnlaget du har valgt, er juridisk forsvarlig. Å velge "Legitim interesse - Lead" i en nedtrekksmeny skaper ikke en legitim interesse. Det er det bare en dokumentert vurdering av legitime interesser som gjør. EU-domstolens KNLTB-dom (C-621/22, 4. oktober 2024) bekreftet at rent kommersielle interesser kan kvalifisere, men EDPB-retningslinjene 1/2024 (8. oktober 2024) skjerpet forventningene - vage begrunnelser holder ikke, og nødvendigheten må vurderes i lys av dataminimering etter EU-domstolens dom C-252/21 Meta mot Bundeskartellamt. Behandle eiendommen som en merkelapp, ikke et grunnlag.
Variasjon mellom land. E-integritetsdirektivets artikkel 13(5) gir medlemsstatene fleksibilitet når det gjelder B2B-e-post, og det er grunnen til at den samme HubSpot-forsendelsen gir 27 forskjellige nasjonale risikoprofiler. Formen teamet ditt trenger i hodet sitt:
| Jurisdiksjon | Regime for B2B-e-post |
|---|---|
| Storbritannia (PECR Reg. 22) | Bedriftsabonnenter (Ltd, LLP, stat): samtykke ikke påkrevd; legitim interesse, typisk med dokumentert LIA. Enkeltpersonforetak og enkeltmannsforetak er individuelle abonnenter - samtykke eller "soft opt-in". |
| Tyskland (UWG §7(2)(2)) | Strenge krav om uttrykkelig forhåndssamtykke for alle e-postreklame, inkludert B2B. BGH (10. februar 2011, I ZR 164/09) krever dobbel opt-in. Begrenset unntak fra UWG §7(3) "eksisterende kunde / lignende produkt". |
| Frankrike (CNIL) | B2C: opt-in. B2B: opt-out for meldinger som gjelder mottakerens yrkesaktivitet, og som sendes til en nominativ forretningsadresse. Generiske adresser (info@) er ikke personopplysninger. CNILs veiledning fra april 2026 krever separat samtykke for sporingspiksler i e-post, med frist 15. juli 2026. |
| Norge (markedsføringsloven §15) | Samtykke for fysiske personer; soft opt-in for eksisterende kunder (lignende produkter); B2B til juridiske personer og generiske adresser generelt tillatt med tydelig identifikasjon + opt-out. EU-domstolen C-654/23 (13. november 2025) utvidet "i forbindelse med et salg" til gratis brukerkontoer. |
| Sverige / Danmark / Finland | I stor grad speiler Norge - B2B-adresser til juridiske personer er tillatt; forbruker opt-in. |
| Nederland / Italia | B2B opt-out for bedriftsadresser; samtykke for fysiske personer. |
Tyskland ligger i den strenge enden. Storbritannia, Frankrike og de nordiske landene er mer liberale. Hvis markedsføringsteamet ditt driver paneuropeiske kampanjer fra én enkelt HubSpot-portal, er det tryggest å bruke den strengeste gjeldende regelen - noe som vanligvis betyr dobbel opt-in og abonnementstyper per formål. HubSpot støtter dobbel opt-in på alle betalte nivåer (per skjema og flerspråklig på Pro og Enterprise), med det forbeholdet at DOI teknisk sett er en bekreftelse av e-postadresse i stedet for en bekreftelse per abonnement. Streng DOI per abonnement for Tyskland krever tilpasset arbeidsflytdesign.
Informasjonskapsler og banneret. Artikkel 5(3) i e-integritetsdirektivet krever samtykke for informasjonskapsler uavhengig av om dataene er personlige - og legitim interesse kan ikke erstatte dette. HubSpots innebygde banner for informasjonskapsler v2 (standard for kontoer som er opprettet etter november 2022; v1 automatisk migrering begynner 11. mai 2026) støtter modusene Varsling, Opt-in og Opt-out med samtykke på kategorinivå (Nødvendig / Analyse / Funksjonell / Reklame) og Global personvernkontroll som kan veksles mellom. Bannertypen "Notification" er kun informativ - den er ikke GDPR/ePrivacy-gyldig for EU-markeder. Send det som Opt-in.
Den strukturelle begrensningen er verdt å kjenne til: HubSpots banner registrerer samtykke, men blokkerer ikke teknisk sett tredjepartsskript som er lastet inn utenfor HubSpot - egendefinerte HTML-moduler, GTM-tagger, eksternt innebygde LinkedIn Insight Tag, Hotjar, YouTube. HubSpots sporingskode setter selv informasjonskapsler ved innlasting av siden som standard, med mindre opt-in-modus er aktivert.
CNIL har ilagt flere organisasjoner bøter frem til 2024-2025 for nettopp dette hullet. Hvis du har meningsfull tredjepartssporing på nettstedet, er det anbefalte mønsteret å deaktivere HubSpots innebygde banner, bruke en ekstern CMP (Cookiebot, OneTrust, Usercentrics) og la CMP-en blokkere HubSpots sporingsskript inntil samtykke er gitt. HubSpot eksponerer JavaScript-objektet _hsp med addPrivacyConsentListener, revokeCookieConsent og doNotTrack API-kroker for akkurat denne integrasjonen.
Den daglige driften av GDPR - å svare de registrerte, slette på forespørsel, oppbevare kun så lenge som nødvendig, bevise hvem som har gjort hva - er for det meste nedstrøms for kontraktene og arkitekturen, men det er her det meste av håndhevingen faktisk skjer.
Permanent sletting (tidligere "GDPR-sletting"). Sti: CRM → Kontakter → post → Handlinger → Slett → "Slett denne kontakten og alt tilhørende innhold permanent for å følge personvernlover og -bestemmelser". Det tar opptil 30 dager å slette alle replikaer. Når e-postadressen er slettet permanent, kan den ikke legges til på nytt gjennom brukergrensesnittet eller via import - men den kan fortsatt legges til på nytt via skjemainnlevering, tilkoblet innboks eller API.
Den siste delen er et smutthull i styringen som det er verdt å designe rundt: en undertrykkelsesliste utenfor HubSpot, pluss blokkeringsregler på skjema-/innboks-siden. Permanent sletting kan ikke utføres i bulk via lister eller arbeidsflyter - kun individuelle poster. Et DSAR-program med høyt volum trenger API-endepunktene DELETE /crm/v3/objects/contacts/gdpr-delete og delete-by-email-varianten. Anonymiserte analyser vedvarer (økter i trafikkilderapporter, aggregerte e-postmålinger for åpne/klikk) - dette er greit i henhold til betraktning 26, men merk det i DSAR-svarmalen din.
Kaskade på tvers av objekter. Tilknyttede objekter (selskaper, avtaler, billetter, egendefinerte objekter) kaskades ikke automatisk ved permanent sletting. Bestem retningslinjene dine på forhånd: enten lag en arbeidsflyt som sletter assosiasjoner eksplisitt, eller dokumenter at kaskaden er et manuelt trinn i DSAR-runbooken din.
Abonnementsinnstillinger er knyttet til e-postadressen, ikke kontaktoppføringen. De overlever sykluser med sletting og gjenoppretting. Dette er faktisk nyttig for å respektere utmeldinger, men det er verdt å vite.
Portal for forespørsler om personvern. Tilgjengelig under Innstillinger → Personvern og samtykke → Personvernforespørsel. Offentlig selvbetjeningsskjema med reCAPTCHA og e-postbekreftelse, samt en Data Request Manager-kø med tidsfrister. Støtter sletting av data, dataeksport og sletting av beriket data. KB sist oppdatert 5. mars 2026. Sett opp dette i stedet for å håndtere DSAR-er via innboks.
Oppbevaring. HubSpots standard er ingen automatisk tidsbasert sletting - data beholdes så lenge abonnementet ditt er aktivt. Du kan konfigurere "Slett inaktive kontakter automatisk" under Personvern og samtykke, basert på Opprettelsesdato, Siste økt, Siste markedsførings-e-post åpnet eller Siste engasjement. Arbeidsflytbasert sletting håndterer egenskapsdrevne scenarier.
Dokumenter forretningsbegrunnelsen per datakategori i RoPA-en. Nitti dager etter kansellering slettes hele portalen permanent. Papirkurven tilbyr et 90-dagers gjenopprettingsvindu for sletting av myke poster - nyttig for operasjonell gjenoppretting, men ikke for sikkerhetskopiering. For scenarier med juridisk sperrefrist kan du bruke uavhengige verktøy for sikkerhetskopiering (backHUB, ProBackup) eller planlagt CSV-eksport.
Revisjonslogger og tilgangskontroller. Revisjonslogger er mer omfattende på Enterprise (påloggingsaktivitet, sikkerhetsaktivitet, endringshistorikk for eiendom). De fleste regulerte kunder eksporterer til en SIEM. SSO og SAML er Enterprise. MFA er tilgjengelig på alle nivåer - håndhev det. Rollen som sikkerhetskontakt, som ble lagt til i 2024-2025, er den riktige innboksen for hendelsesvarsler; tildel den til en ekte person, ikke en delt postkasse.
Fire deler av EU-regelverket som ikke eksisterte (eller ikke var i kraft) sist gang de fleste kunder gjennomgikk HubSpot:
NIS2-direktivet (2022/2555). Gjennomføringsfrist 17. oktober 2024; ujevn nasjonal implementering i hele EU (Tysklands NIS2-implementeringslov gjaldt fra desember 2025, med omtrent 38 % registrering i tide). HubSpot Ireland Limited kvalifiserer sannsynligvis som en viktig enhet i henhold til vedlegg II som leverandør av nettskytjenester. HubSpot har i skrivende stund ikke kommet med noen offentlig NIS2-uttalelse.
Hvis organisasjonen din selv er en essensiell eller viktig enhet, må du følge sikkerhetskravene i artikkel 21 nedover i leverandørkjeden: 24-timers tidlig varsling, 72-timers varsling, 1-måneders sluttrapport. Bøtene kan gå opp til 10 millioner euro eller 2 % av omsetningen for vesentlige enheter, og 7 millioner euro eller 1,4 % for viktige enheter. Ledende ansatte har personlig ansvar. Ta dette opp skriftlig under den årlige gjennomgangen - leverandørens respons på NIS2 er i seg selv et nyttig innkjøpssignal.
DORA (forordning 2022/2554). Gjelder fra 17. januar 2025 for rundt 22 000 finansforetak i EU og deres kritiske tredjepartsleverandører av IKT-tjenester. Hvis du er en bank, et forsikringsselskap, en betalingsinstitusjon, en fondsforvalter eller en finansinstitusjon som omfattes av forordningen, er HubSpot en "tredjepartsleverandør av IKT-tjenester" i henhold til DORA, noe som betyr artikkel 30-avtalebestemmelser, revisjonsrettigheter, exit-strategi, samarbeid om rapportering av IKT-hendelser og samarbeid om trusselstyrt penetrasjonstesting. Det er lite sannsynlig at standard HubSpot DPA vil være fullt ut DORA-kompatibel. Forvent å forhandle frem et skreddersydd DORA-tillegg. Per april 2026 finnes det ikke noe offentlig HubSpot DORA-tillegg - start samtalen tidlig.
EUs AI-lov (forordning 2024/1689). I kraft 1. august 2024. Forbud og AI-kunnskapsforpliktelser fra 2. februar 2025. GPAI-regler fra 2. august 2025. Full anvendelse på generelle systemer fra 2. august 2026. HubSpots Breeze-pakke - Copilot, Customer / Prospecting / Content / Knowledge Base / Social Media / Data Agents, Breeze Intelligence (bygget på oppkjøpet av Clearbit), AI Email Writer, AI Content Writer, AI Website Generator, AI Chatbot - er for det meste i kategorien med begrenset risiko. Dette utløser artikkel 50-forpliktelser om åpenhet: informer brukerne om at de samhandler med AI, og merk AI-generert innhold. Y
vår bruk kan føre til at klassifiseringen øker til høyrisiko (ansettelsesscreening, kredittvurdering) - det er kundens ansvar. HubSpots AI Trust-side forplikter til kryptering, reviderte systemer, kontraktsmessige begrensninger for tredjeparts AI-leverandører (ingen opplæring i kundedata), AI som arver portaltillatelser, og AI-behandling som holder seg innenfor kundens datasenterregion. Det er ikke publisert noen artikkel 50-kartlegging på funksjonsnivå - be om en slik under anskaffelsen.
EUs datalov (2023/2854). Gjeldende fra 12. september 2025. HubSpot har publisert et tillegg til EUs datalov som dekker kravene til bytte og portabilitet for skytjenester. Bekreft at det er referert til i anskaffelsesfilen.
E-integritetsforordningen trekkes tilbake. For fullstendighetens skyld: Den lenge varslede ePrivacy-forordningen ble offisielt trukket tilbake (Kommisjonens arbeidsprogram 11. februar 2025; formelt godkjent 16. juli 2025; publisert i Official Journal 6. oktober 2025 som C/2025/5423). Direktivet fra 2002 og de 27 nasjonale implementeringene av det forblir i kraft på ubestemt tid. Det finnes ingen erstatning i horisonten. Det lappeteppet av regelverk du navigerer i i dag, er det lappeteppet av regelverk du vil måtte navigere i i 2030.
Nyere veiledning fra EDPB som er verdt å merke seg. Uttalelse 28/2024 om AI-modeller (17. desember 2024) setter en høy terskel for anonymitetskrav og bekrefter at legitime interesser kan være et grunnlag for utvikling og bruk av AI - fra sak til sak. Retningslinje 1/2024 om artikkel 6(1)(f) (8. oktober 2024) skjerpet LIA-forventningene og bekreftet at samtykke til informasjonskapsler ikke kan erstattes av berettiget interesse. Opinion 08/2024 om betaling eller samtykke (april 2024) gjorde det klart at store plattformer generelt ikke kan basere seg på binær betaling eller samtykke for atferdsbasert annonsering - relevant for alle som kjører cookie walls på et HubSpot CMS-nettsted.
Ingen større DPA-håndhevelsessaker har blitt anlagt mot HubSpot selv i denne perioden.
De samme konfigurasjonsfeilene dukker opp i de fleste HubSpot-portalene vi reviderer. Hver av disse er noe du kan gi til revisjonsteamet ditt som en diskret sjekk.
Hvis du vil ha en gratis 30-minutters revisjonssamtale som går gjennom disse seksten punktene mot din live-portal, er det tilbudet i midten av artikkelen - bestill en rask kartleggingssamtale med Superwork.
Artefaktet for kjøreboken. Vi bruker denne ved hver eneste Compliance Posture Review vi gjennomfører.
Vi er en HubSpot Solutions Partner. Det meste av arbeidet vårt er implementering og RevOps. Noen av de mest nyttige samtalene våre er imidlertid de vi har med personen som sitter på den andre siden av bordet - compliance-ansvarlig, CISO, IT-sjefen - som trenger å vite hva som faktisk er i boksen før de signerer.
Den samtalen er kortere enn den pleide å være. HubSpot har gjort en betydelig mengde compliance-arbeid de siste fem årene, og det er stort sett forsvarlig for europeiske B2B-bruksområder. Vår erfaring er at det som ødelegger samsvaret, nesten aldri er en HubSpot-begrensning. Det er fraværet av en styringsmodell rundt produktet - ingen TIA i arkivet, ingen dokumentert oppbevaringsregel, ingen revisjonsspor for hvem som konfigurerte cookie-banneret eller når, ingen abonnement på endring av underprosessorer, ingen årlig revurdering.
Det er det arbeidet vi gjør. Nærmere bestemt: en 90-minutters HubSpot Compliance Posture Review som produserer fire leveranser du kan legge på den delte stasjonen samme uke - et TIA-regneark som er tilpasset dataflyten din, en revisjon av underbehandlere som gjenspeiler funksjonene du faktisk har slått på, en anbefaling om konfigurasjon av cookie-banner og en RoPA-mal med HubSpot-spesifikke oppføringer. Ingen lisenskjøp kreves. Ingen oppfølgende salgssekvens utløses.
Hvis organisasjonen din evaluerer HubSpot, har brukt det i tre år og aldri blitt revidert på nytt, eller blir stilt ubehagelige spørsmål av en tilsynsmyndighet, er dette tilbudet. Bestill en Compliance Posture Review med Superwork - og vi vil enten fortelle deg at din HubSpot GDPR-overholdelse er i god form, eller vi vil fortelle deg nøyaktig hva du må fikse og hvor lang tid det vil ta.
Styret spør ikke om CRM-systemet ditt er i samsvar med regelverket. De spør om du kan bevise det. Arbeidet i denne veiledningen viser hvordan svaret "ja, her er filen" faktisk ser ut.