· 6 min

Spårar QR-kodgeneratorer dig? Så kontrollerar du på 30 sekunder

Vilka uppgifter QR-kodgeneratorer kan samla in, hur du kontrollerar om din stannar i webbläsaren, och hur du väljer en som verkligen är privat och spårfri.

Spårar QR-kodgeneratorer dig? Så kontrollerar du på 30 sekunder

Att skapa en QR-kod verkar harmlöst: du fyller i ett formulär, du får en bild. Det du inte ser är vad som händer med de uppgifter du angav — om de stannar i din webbläsare eller skickas till leverantörens server.

För WiFi, vCard, betalningar och personuppgifter spelar den skillnaden roll.

Snabbt svar

  • Onlinegeneratorer för QR-koder kan spåra två separata saker: uppgifterna du anger (lösenord, kontakt, URL) och vem som skannar QR-koden efteråt.
  • Spårning av angivna uppgifter beror på om genereringen är server-side (data skickas till en server) eller client-side (allt sker i din webbläsare).
  • Spårning av skanningar är bara möjlig med dynamiska QR-koder: QR-koden pekar mot en leverantörs-URL som loggar varje besök.
  • Du kan kontrollera det på 30 sekunder med webbläsarens DevTools (fliken Nätverk) medan du genererar QR-koden.
  • Om du anger känsliga uppgifter (WiFi, vCard, betalningar) ska du använda client-side-generatorer, utan registrering, helst öppen källkod.

Vilka typer av spårning finns i en QR-generator

Tre separata lager:

1. Spårning av de uppgifter du anger

När du fyller i formuläret (SSID, lösenord, kontakt, URL) kan den informationen:

  • Stanna i din webbläsare och aldrig skickas någonstans (client-side generering).
  • Resa till leverantörens server för att bygga bilden och returneras (server-side generering). Den kan sedan hamna i loggar, analys eller databaser.

De flesta onlinegeneratorer är server-side som standard, eftersom det är den enklaste implementationen. Det betyder inte att leverantören är skadlig, men det innebär att dina uppgifter passerar genom deras infrastruktur.

2. Spårning av användaren som genererar QR-koden

Precis som vilken webbplats som helst kan generatorn ha:

  • Analys (Google Analytics, Plausible, Matomo osv.).
  • Tredjepartscookies och annons­pixlar (Meta, TikTok, Google Ads).
  • Webbläsar­fingeravtryck för att identifiera dig utan cookies.
  • Obligatoriskt konto som kopplar varje QR du genererar till din identitet.

Det är oberoende av QR-genereringen i sig, men det ingår i paketet.

3. Spårning av vem som skannar QR-koden

Gäller bara dynamiska QR-koder: koden pekar mot en kort leverantörs-URL (qr.xx/abc123) som omdirigerar till den verkliga destinationen. Varje omdirigering loggas med:

  • Exakt skanningstid.
  • Användarens IP (och ungefärlig plats).
  • Enhetstyp, OS, webbläsare.
  • Referens om sådan finns.

I en dynamisk QR är skanning­sspårning inte oavsiktlig — det är produktens anledning till att finnas.

Hur du identifierar om din generator spårar dig (ingen kodning krävs)

Tre minuter med vilken modern webbläsare som helst:

  1. Öppna generatorn du planerar att använda.
  2. Tryck F12 (eller högerklicka → Inspektera) och gå till fliken Nätverk.
  3. Tryck på den röda inspelningsknappen / håll fliken öppen och rensa den (⌀-knappen).
  4. Fyll i QR-formuläret med vilka uppgifter som helst och tryck på "generera".
  5. Se på förfrågningarna som visas i listan.

Vad du letar efter:

  • Om inga nya förfrågningar visas under genereringen: QR-koden byggs 100 % i din webbläsare. Client-side. ✅
  • Om en POST-förfrågan visas till en leverantörs-URL precis när du trycker generera, med dina fält (SSID, lösenord osv.) i nyttolasten: dina uppgifter skickas till servern. Server-side. ❌ för känsliga uppgifter
  • Om svaret är QR-bilden (PNG eller SVG) genererad av backend: det bekräftar att servern bygger koden.

Kontrollera även om sidan laddar Google Analytics, Meta Pixel eller andra spårnings­skript (du ser förfrågningar till google-analytics.com, googletagmanager.com, connect.facebook.net osv.).

Uppenbara röda flaggor

Utan DevTools, några snabba indikatorer:

  • De kräver registrering eller ett konto för att generera en grundläggande QR.
  • De har en "PRO"-plan med detaljerad skanning­sspårning: om det är deras affärsmodell ligger spårning i produktens DNA.
  • Den nedladdade QR-koden bär deras URL istället för din (qr.xx/abc123 istället för dindomän.se): det är en dynamisk QR, automatiskt spårad.
  • Integritetspolicyn nämner att dela data med tredje parter, marknadsförings­partner eller annonsanvändning.
  • De publicerar inte källkoden och verktyget är gratis utan tydlig affärsmodell: någon betalar för det, vanligtvis med dina uppgifter.

Hur du verifierar att en generator är client-side

Snabb checklista:

  • Fungerar offline: koppla ifrån ditt WiFi, ladda om sidan och försök generera. Om det fungerar är det client-side. Om det inte laddar eller låter dig generera beror det på servern.
  • Inga nätverksförfrågningar vid generering (verifierbart med DevTools enligt ovan).
  • Inget konto krävs, ingen e-post.
  • Källkoden är granskbar (öppen källkod eller ominifierat JavaScript).
  • QR-destinationen är exakt det du skriver, inte en förkortad leverantörs-URL.

Om alla fem gäller kan generatorn inte spåra dig eller den som skannar koden.

Varför detta är viktigast för WiFi, vCard och betalningar

För en offentlig URL (din företagswebbplats, ett offentligt PDF) tillför generatorns "seende" av din URL ingen risk: den skulle ändå vara offentlig.

Men det finns tre QR-typer där spårning är kritisk:

  • WiFi: ditt nätverkslösenord. Om det skickas till leverantörens server är det utanför din kontroll.
  • vCard: personlig telefon, e-post, adress. Personuppgifter som omfattas av GDPR, som i Sverige tillämpas av IMY (Integritetsskyddsmyndigheten).
  • Betalningar / Bitcoin: plånbok, IBAN, bankuppgifter. Den högsta känslighetsnivån.

För dessa fall är det inte paranoja att använda en client-side-generator — det är grundläggande hygien.

Öppen källkod vs proprietär

Att en generator har öppen källkod garanterar inte i sig mer integritet, men det låter dig:

  • Granska koden och kontrollera att det inte finns dold spårning.
  • Bekräfta client-side-logiken utan att ta leverantörens ord för det.
  • Köra den själv om du vill ha full kontroll.

En proprietär generator kan vara lika privat, men det kräver att du litar på vad leverantören påstår. Utan granskbar kod finns inget sätt att verifiera.

I praktiken: öppen källkod + inget konto + inget nätverk under generering = den högsta rimliga integritetsstandarden.

Sammanfattning

Nästan varje onlinegenerator för QR-koder bearbetar dina uppgifter på sin server. Det är okej för en offentlig URL, men riskabelt för WiFi, vCard eller betalningar. För att kontrollera på 30 sekunder, öppna DevTools, gå till Nätverk och se om webbläsaren skickar förfrågningar när du genererar QR-koden. Om den inte gör det är den client-side och ditt innehåll lämnar aldrig din enhet.

QRcito genererar varje QR helt i din webbläsare, utan konto, utan nätverk under generering och utan tredjepartsspårare. Du kan kontrollera det genom att öppna DevTools innan du trycker generera.

Vanliga frågor

Vad innebär "client-side" i en QR-generator? Att JavaScript som bygger QR-bilden körs inuti din webbläsare. De uppgifter du anger skickas aldrig till någon server. Generering är lokal, omedelbar och fungerar offline.

Är det lagligt för en QR-generator att lagra mina uppgifter? Om deras integritetspolicy förklarar det och du accepterar det, ja. Problemet är att många policyer är vaga eller inte täcker QR-specifika uppgifter. Om du tvivlar, anta att de lagrar något och välj ett annat verktyg om dina uppgifter är känsliga.

Kan en statisk QR spåra vem som skannar den? Nej. En statisk QR passerar inte genom någon server: informationen går direkt från koden till läsaren. Bara dynamiska QR-koder (med en mellanliggande omdirigerings-URL) kan spåra skanningar.

Hur gäller GDPR för QR-generatorer? Om du anger personuppgifter (namn, e-post, telefon i ett vCard) i ett server-side-verktyg baserat i EU eller som betjänar europeiska användare är leverantören ansvarig för behandling enligt GDPR. För att minimera risker och skyldigheter är den enkla vägen att använda client-side-generatorer. IMY är den svenska tillsynsmyndigheten.

Varför kan QRcito erbjuda allt gratis utan spårning? Eftersom att generera QR-koder är en lättviktig process som inte kräver dyr infrastruktur. Att vara client-side innebär inga server­kostnader per användare; utan spårning eller konton finns inget att sälja. Siten drivs till mycket låg kostnad, utan behov av att tjäna pengar på användare.

← Tillbaka till bloggen