Du har sikkert lagt merke til det – når du klikker deg inn på en nettside, får du spørsmål om cookies. En cookie er rett og slett en liten fil som lagres på enheten din når du besøker en nettside, og den hjelper nettsiden med å huske ting som innlogging, innstillinger eller hvordan du bruker siden.
For deg som eier en nettside, kan cookies gjøre alt litt smidigere for brukerne, men det følger med juridiske krav du ikke kan ignorere. Fra 1. januar 2025 er reglene skjerpet, og du må nå skaffe gyldig samtykke fra brukerne før de fleste typer cookies aktiveres.
Uansett om du driver en stor eller liten nettside: bruker du cookies uten gyldig samtykke, kan Datatilsynet gi deg sanksjoner.
En cookie er en liten tekstfil som nettleseren lagrer lokalt på enheten din når du besøker en nettside, og den gjør det mulig for nettsiden å huske informasjon om deg og valgene dine. Cookien tilhører alltid den spesifikke nettsiden og er kun tekst – den kan ikke inneholde virus eller skadelig kode.
Vi kaller dem gjerne informasjonskapsler på norsk, men det er det samme som cookies. Når du besøker en nettside, oppretter nettleseren automatisk en slik datafil på maskinen, nettbrettet eller mobilen din.
Cada cookie tilhører én bestemt nettside og inneholder informasjon som hjelper nettsiden å fungere bedre for deg, for eksempel brukerinnstillinger, innloggingsstatus eller innhold fra tidligere besøk. Andre nettsider kan ikke lese cookiene dine, og du slipper å bekymre deg for virus eller programmer.
Når du åpner en nettside, sender serveren ut en cookie som nettleseren lagrer lokalt, og neste gang du besøker samme side, sender nettleseren cookien tilbake. Slik kan nettsiden kjenne deg igjen og tilpasse innholdet, for eksempel ved å huske hva du har lagt i handlekurven i en nettbutikk.
Cookies inneholder ofte et unikt ID-nummer som knytter dataene til deg eller enheten din, og dataene sendes mellom nettleseren og serveren for å gi deg en mer sømløs opplevelse. Mellomrom kan gjøres midlertidige (de slettes når du lukker nettleseren) eller permanente (de lagres i lengre tid).
Nødvendige cookies må være på plass for at nettsiden skal fungere – de tar seg av innlogging, handlekurv og sikkerhet, og krever ikke samtykke. Funksjonelle cookies husker valgene dine, som valgt språk, lokasjon eller presentasjonsformat.
Statistikk-cookies samler inn opplysninger om hvordan du og andre bruker nettsiden, slik at eierne kan gjøre nettsiden bedre – disse krever samtykke. Markedsføringscookies følger deg på tvers av ulike sider for å vise deg reklame tilpasset interessene dine, og krever alltid aktivt samtykke.
Førsteparts cookies lages av nettsiden du besøker selv og brukes til ting som innlogging, innstillinger og handlekurv – disse er gjerne midlertidige og forsvinner når du lukker nettleseren. Tredjeparts cookies kommer fra andre aktører koblet til nettsiden, for eksempel reklameleverandører og analyseverktøy.
Tredjeparts cookies kan følge deg på tvers av mange nettsider og gir et bredere bilde av nettleseratferden din, noe som brukes til målrettet annonsering. Det er nettopp slike cookies som er underlagt de strengeste reglene og som alltid krever eksplisitt samtykke.
Fra 1. januar 2025 gjelder nye, strengere regler for cookies i Norge. Datatilsynet og Nasjonal kommunikasjonsmyndighet krever at alle nettsider følger personvernforordningen ved bruk av cookies til sporing, analyse eller annonsering.
Den nye ekomloven § 3-15 sier at du må ha gyldig samtykke før du lagrer eller henter informasjon fra brukerens enhet, og dette gjelder uansett om det er PC, mobil eller nettbrett. Loven gjelder all informasjon, ikke bare personopplysninger – du må altså be om samtykke selv for cookies som ikke inneholder persondata.
Tidligere kunne nettsider lene seg på at nettleserinnstillinger ga samtykke, men nå må brukeren faktisk klikke og godkjenne cookies aktivt. De fleste cookies for analyse, annonsering og sporing er ikke unntatt fra kravet – Google Analytics og markedsføringscookies krever alltid samtykke.
GDPR setter syv krav til gyldig samtykke: det må være frivillig, spesifikt, informert, utvetydig, gitt gjennom en aktiv handling, dokumenterbart, og like lett å trekke tilbake som å gi. I praksis betyr dette at du må gjøre det like enkelt å si nei som å si ja – skjuler du nei-knappen, er ikke samtykket gyldig.
Du må forklare tydelig hvilke cookies du bruker og hvorfor, slik at brukerne forstår hva de sier ja til. Samtykkeløsningen din bør ha like synlige ja- og nei-knapper, muligheten til å velge mellom ulike typer cookies, og lagring av dokumentasjon på at samtykke faktisk ble gitt.
Brukerne har rett til å velge hvilke cookies de vil godta, for eksempel si ja til nødvendige cookies men nei til analyse eller markedsføring. De skal også kunne trekke tilbake samtykket når som helst, og det må være like enkelt å endre valgene som det var å gi dem.
Nettsiden må gjøre det enkelt å administrere cookies, for eksempel via en lenke i bunnteksten eller et ikon som alltid vises. Ingen skal måtte lete for å endre innstillinger – dette er særlig viktig hvis du driver en nettbutikk der persondata er involvert.
Feil bruk av cookies kan skape personvernrisiko for både nettstedet og de som besøker det, og tredjepartscookies fra annonsenettverk kan gi tilgang til mer data enn mange nettstedseiere er klar over. God praksis handler om å lage en full oversikt over alle cookies på nettstedet og vurdere nøye hvilke som faktisk er nødvendige.
Bruk sikre innstillinger som HTTPS og korrekte sikkerhetsflagg (HttpOnly og Secure) for å beskytte sensitive data, og test at samtykkeløsningen fungerer på både mobil og datamaskin. Husk at det er du som nettsideeier som har ansvaret – ikke leverandørene av cookies.
Cookies er en uunngåelig del av moderne nettsider, men krever nå mer bevisst håndtering enn noensinne. De nye reglene som gjelder fra 2025 er tydelige: brukerne skal gi aktivt samtykke, det skal være like enkelt å si nei som å si ja, og du som eier nettsiden er ansvarlig for at alt er i orden. En ryddig samtykkeløsning er ikke bare et juridisk krav – det bygger tillit hos de besøkende.
Begynn med å kartlegge alle cookies på nettstedet ditt og vurder hvilke som faktisk er nødvendige. Neste steg er å implementere eller oppdatere samtykkeløsningen slik at den oppfyller GDPR-kravene. Dette er spesielt viktig hvis nettsiden din er koblet til verktøy som Google Analytics eller betalt annonsering, siden disse alltid krever eksplisitt samtykke. God datahåndtering bidrar også positivt til den digitale markedsføringen ved at du baserer deg på pålitelige data fra samtykkegivende brukere.