Cookie-kategorier: Så klassificerar du cookies för samtycke
Cookie-samtycke är inte ett allt-eller-inget-beslut. Integritetslagstiftning kräver att användare kan göra detaljerade val kring vilka typer av cookies de accepterar. För att göra detta möjligt organiseras cookies i kategorier — grupper baserade på deras syfte, var och en med sina egna samtyckeskrav.
Att kategorisera rätt är avgörande. Att felaktigt klassificera en marknadsföringscookie som "absolut nödvändig" är inte bara ett tekniskt misstag — det är en regelöverträdelse som tillsynsmyndigheter aktivt letar efter och bestraffar.
Varför kategorisering är viktigt
GDPR kräver att samtycke ska vara "specifikt" (artikel 4.11). Artikel 29-arbetsgruppen (numera EDPB) har förtydligat att detta innebär att samtycke måste ges separat för varje distinkt ändamål. Att bunta ihop alla cookies i en enda "acceptera alla" utan att erbjuda val per kategori uppfyller inte denna standard.
I praktiken innebär detta att din mekanism för cookie-samtycke måste presentera cookies grupperade efter syfte och tillåta användare att acceptera eller avvisa varje kategori oberoende av varandra. Standarden som har växt fram inom branschen — och som tillsynsmyndigheter förväntar sig — använder fyra kategorier.
De fyra standardkategorierna för cookies
1. Absolut nödvändiga cookies
Dessa cookies är väsentliga för webbplatsens grundläggande funktion. Utan dem kan den tjänst som användaren uttryckligen har begärt inte tillhandahållas.
Samtycke krävs: Nej. Absolut nödvändiga cookies är undantagna från samtyckeskravet enligt ePrivacy Directive artikel 5.3, som anger att samtycke inte behövs för cookies som är "absolut nödvändiga för att leverantören av en informationssamhällets tjänst som uttryckligen begärts av abonnenten eller användaren ska kunna tillhandahålla tjänsten."
Exempel på absolut nödvändiga cookies:
- Sessionscookies som upprätthåller inloggningsstatus
- Varukorgscookies på en e-handelsplats
- CSRF-skyddstoken (cross-site request forgery)
- Cookies för lastbalansering som fördelar trafik över servrar
- Cookies för samtyckesinställningar (den cookie som kommer ihåg ditt samtyckesval)
- Säkerhetscookies som upptäcker missbruk av autentisering
Vad som INTE är absolut nödvändigt:
- Analyscookies — även förstapartscookies. Att mäta trafik är användbart för webbplatsoperatören, men det är inte nödvändigt för att tillhandahålla den tjänst användaren begärt.
- Sociala medier-plugins — delningsknappar och inbäddade flöden tjänar webbplatsägarens intressen, inte en funktion som användaren uttryckligen begärt.
- Annonscookies — per definition tjänar dessa ett syfte utöver den tjänst användaren får tillgång till.
- A/B-testcookies — dessa tjänar webbplatsoperatörens optimeringsmål, inte användarens uttryckliga begäran.
Det avgörande testet är perspektiv: nödvändig för vem? Om cookien tjänar webbplatsoperatörens intressen snarare än en funktion som användaren uttryckligen begärt, är den inte absolut nödvändig — oavsett hur viktig den kan vara för verksamheten.
2. Analys- / statistikcookies
Dessa cookies samlar in information om hur besökare använder webbplatsen: vilka sidor som besöks, hur länge användare stannar, varifrån de kommer och var de lämnar. Datan aggregeras vanligtvis och används för att förbättra webbplatsen.
Samtycke krävs: Ja, i de flesta jurisdiktioner. Vissa dataskyddsmyndigheter (särskilt franska CNIL och nederländska AP) har dock antytt att vissa förstapartsanalysverktyg kan kvalificera sig för ett begränsat undantag, förutsatt att specifika villkor uppfylls (se vårt avsnitt om när samtycke krävs).
Vanliga analyscookies:
| Cookie | Tjänst | Syfte | Standardlivslängd |
|---|---|---|---|
_ga |
Google Analytics | Skiljer unika användare åt | 2 år |
_ga_* |
Google Analytics 4 | Upprätthåller sessionsstatus | 2 år |
_gid |
Google Analytics | Skiljer användare åt (24h) | 24 timmar |
_pk_id.* |
Matomo | Besökar-ID | 13 månader |
_pk_ses.* |
Matomo | Sessionsspårning | 30 minuter |
_hjSessionUser_* |
Hotjar | Användaridentifierare | 1 år |
Observera att Google Analytics-cookies är av tredjepartskaraktär även om de kan framstå som förstapartscookies — eftersom Google behandlar datan på sina egna servrar och kan använda den för egna ändamål. Denna distinktion har varit betydelsefull i flera europeiska tillsynsärenden.
3. Marknadsförings- / annonscookies
Dessa cookies spårar besökare över webbplatser för att bygga en profil av deras surfbeteende. Denna profil används för att leverera riktad reklam, mäta annonskampanjers effektivitet och begränsa antalet gånger en användare ser en viss annons.
Samtycke krävs: Alltid. Det finns inget undantag för annonscookies enligt någon tolkning av ePrivacy Directive eller GDPR.
Vanliga marknadsföringscookies:
| Cookie | Tjänst | Syfte | Standardlivslängd |
|---|---|---|---|
_fbp |
Meta (Facebook) | Spårar besök för annonsstyrning | 3 månader |
_gcl_au |
Google Ads | Konverteringsspårning | 3 månader |
IDE |
Google DoubleClick | Retargeting och annonsvisning | 13 månader |
_uetsid |
Microsoft Advertising | Konverteringsspårning | 1 dag |
li_fat_id |
Indirekt medlemsidentifierare | 30 dagar |
Marknadsföringscookies är nästan alltid tredjepart. De representerar den högsta integritetsrisken och är den mest strikt reglerade kategorin. Varje samtyckesmekanism som gör det enklare att acceptera marknadsföringscookies än att avvisa dem riskerar åtgärder från tillsynsmyndigheter.
4. Inställnings- / funktionscookies
Dessa cookies möjliggör förbättrad funktionalitet och personalisering som går utöver det absolut nödvändiga. De kommer ihåg val som användaren gjort men krävs inte för att kärntjänsten ska fungera.
Samtycke krävs: Ja, även om risknivån är lägre än för analys- eller marknadsföringscookies. Vissa tillsynsmyndigheter behandlar inställningscookies med mer överseende, men den rättsliga hållningen är att samtycke fortfarande krävs.
Exempel:
- Språkinställning (när webbplatsen fungerar utan den och bara faller tillbaka på ett annat språk)
- Val av region eller valuta
- Förifyllt användarnamn på inloggningsformulär
- Inställningar för videospelare (volym, kvalitet)
- Status för chattwidget (öppen/stängd, konversationshistorik)
- Teckenstorlek eller tillgänglighetsinställningar
Distinktionen mellan "absolut nödvändig" och "inställning" kan vara subtil. En språkcookie på en enspråkig webbplats är meningslös. En språkcookie på en flerspråkig webbplats som faller tillbaka på ett fungerande språk utan den är en inställning. En språkcookie på en webbplats som inte alls kan fungera utan den — eftersom innehållet inte laddas utan ett språkval — skulle kunna argumenteras vara absolut nödvändig. Sammanhanget spelar roll.
Så kategoriserar du dina cookies korrekt
Följ denna process för varje cookie på din webbplats:
- Identifiera cookien. Vad heter den, vem sätter den (förstapart eller tredjepart), och hur länge varar den?
- Fastställ dess syfte. Varför finns denna cookie? Vad händer om den tas bort?
- Tillämpa testet för absolut nödvändig. Är denna cookie väsentlig för en funktion som användaren uttryckligen begärt? Om användaren bad om att logga in är en sessionscookie nödvändig. Om du vill spåra deras beteende är det ditt behov, inte deras.
- Tilldela kategorin. Om den inte är absolut nödvändig, klassificera den utifrån dess primära syfte: analys, marknadsföring eller inställningar.
- Dokumentera ditt resonemang. Notera för varje cookie varför du kategoriserade den som du gjorde. Denna dokumentation är värdefull om en tillsynsmyndighet någonsin frågar.
Vanliga kategoriseringsmisstag
Baserat på tillsynsåtgärder och revisionsresultat är detta de vanligaste felen:
- Att klassificera Google Analytics som absolut nödvändig. Detta är det enskilt vanligaste misstaget. GA är ett analysverktyg. Det är aldrig absolut nödvändigt för att tillhandahålla en tjänst till användaren. Flera dataskyddsmyndigheter har specifikt påpekat detta.
- Att placera alla tredjepartscookies under "funktionalitet." Inbäddade YouTube-videor, delningsknappar för sociala medier och chattwidgetar är inte absolut nödvändiga och deras cookies tjänar vanligtvis analys- eller marknadsföringssyften utöver den synliga funktionaliteten.
- Att ignorera cookies som sätts av plugins och integrationer. En WordPress-webbplats med 20 plugins kan sätta dussintals cookies som webbplatsoperatören inte ens är medveten om. Du är ändå ansvarig för dem alla.
- Att behandla marknadsföringscookies som analys. Facebook Pixel och konverteringsspårning för Google Ads är marknadsföringscookies, inte analys — deras primära syfte är reklam, även om du använder datan analytiskt.
- Att felkategorisera A/B-testcookies. Verktyg som Optimizely och VWO sätter cookies för att tilldela användare till testgrupper. Dessa är inte absolut nödvändiga och bör kategoriseras som analys eller inställningar.
Automatisera processen
Manuella cookie-revisioner är tidskrävande och felbenägna. Webbplatser förändras ständigt — ett nytt plugin, ett uppdaterat skript, ett marknadsföringsteam som lägger till en spårningspixel — och varje förändring kan introducera nya cookies som behöver kategoriseras.
Passiro skannar och kategoriserar automatiskt alla cookies på din webbplats, upptäcker nya cookies när de dyker upp och flaggar potentiella felkategoriseringar. Detta säkerställer att din mekanism för cookie-samtycke alltid återspeglar de faktiska cookies din webbplats använder — inte bara de du kände till vid din senaste kontroll.
Nu när vi förstår kategorierna, låt oss titta på vad cookie-samtycke faktiskt betyder rättsligt — kraven är mer specifika än de flesta inser.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis