Skip to main content

Cookie-erklæring: Hva det er og hva den må inneholde

En cookie-erklæring er et dokument som forklarer nettstedbesøkende hvilke informasjonskapsler og lignende sporingsteknologier nettstedet ditt bruker, hvorfor de brukes, og hvordan brukerne kan kontrollere dem. Det er et lovkrav både etter ePrivacy-direktivet og GDPR, og det er en grunnpilar i transparent databehandling.

Denne veiledningen dekker hva en cookie-erklæring er, hvordan den skiller seg fra en personvernerklæring, hva den må inneholde etter gjeldende regelverk, og hvordan du holder den korrekt over tid.

Hva er en cookie-erklæring?

En cookie-erklæring er et dedikert dokument – enten en frittstående side eller en tydelig identifiserbar del av personvernerklæringen din – som gir omfattende informasjon om nettstedets bruk av informasjonskapsler og lignende teknologier (local storage, session storage, pikselmerker, web beacons, fingerprinting og lignende).

Det rettslige grunnlaget for kravet om en cookie-erklæring kommer fra to overlappende regelverk:

  • ePrivacy-direktivet (2002/58/EF), artikkel 5(3) – krever at brukerne får «klar og fullstendig informasjon» om formålet med informasjonskapslene før samtykke innhentes.
  • GDPR, artikkel 12–14 – krever åpenhet om databehandling, herunder hvilke data som samles inn, til hvilke formål, med hvem de deles, og hvor lenge de lagres.

Til sammen krever disse regelverkene at du forteller brukerne dine nøyaktig hvilke sporingsteknologier du bruker, og gir dem reell kontroll over disse teknologiene.

Cookie-erklæring vs. personvernerklæring

En cookie-erklæring og en personvernerklæring er utfyllende, men ulike dokumenter. Det er viktig å forstå forskjellen:

Aspekt Cookie-erklæring Personvernerklæring
Omfang Spesifikt informasjonskapsler og sporingsteknologier All behandling av personopplysninger (skjemaer, kontoer, kjøp osv.)
Rettslig grunnlag ePrivacy-direktivet + GDPRs krav til åpenhet GDPR artikkel 12–14
Innholdsfokus Cookie-navn, formål, varighet, typer, kategorier, kontrollmekanismer Datakategorier, rettslige grunnlag, rettigheter, overføringer, DPO, lagring
Format Frittstående side eller del av personvernerklæringen Frittstående side (obligatorisk)
Oppdateringsfrekvens Når informasjonskapslene endres (legge til / fjerne verktøy, leverandører) Når databehandlingspraksisen endres

Du kan inkludere cookie-erklæringen som en del av personvernerklæringen din, men den må være tydelig identifiserbar og lett å navigere til. Mange organisasjoner har en egen cookie-erklæringsside for oversiktens skyld, og fordi cookie-informasjon kan være ganske detaljert.

Cookie-banneret ditt bør lenke til cookie-erklæringen. Hvis cookie-informasjonen din er en del av personvernerklæringen, bør lenken forankres direkte til den delen – ikke tving brukerne til å bla gjennom sider med irrelevant personverninformasjon for å finne cookie-detaljene.

Lovkrav om en cookie-erklæring

ePrivacy-direktivet krever «klar og fullstendig informasjon» som en forutsetning for gyldig samtykke. GDPRs prinsipp om åpenhet (artikkel 5(1)(a)) og informasjonskravene (artikkel 13–14) krever i tillegg at denne informasjonen skal være:

  • Kortfattet, transparent og forståelig (artikkel 12(1))
  • Gitt på et klart og enkelt språk (artikkel 12(1))
  • Lett tilgjengelig (artikkel 12(1))
  • Gitt vederlagsfritt (artikkel 12(5))

I praksis: Cookie-erklæringen din må være skrevet på et språk en ikke-teknisk person kan forstå, den må være lenket fra cookie-banneret og bunnteksten på nettstedet, og den må inneholde spesifikk informasjon om hver enkelt informasjonskapsel nettstedet ditt bruker.

Hva en cookie-erklæring må inneholde

Basert på de samlede kravene i ePrivacy-direktivet, GDPR og veiledning fra datatilsynsmyndigheter, herunder ICO (Storbritannia), CNIL (Frankrike) og Artikkel 29-gruppen, må cookie-erklæringen din inneholde følgende informasjon:

1. Hvilke informasjonskapsler du bruker

Gi en fullstendig oversikt over alle informasjonskapsler og lignende teknologier som er aktive på nettstedet ditt. Dette omfatter informasjonskapsler som settes av din egen kode (førsteparts), samt informasjonskapsler som settes av tredjepartstjenester du bruker (analyseplattformer, annonsenettverk, widgets for sosiale medier, innebygd innhold, chatboter osv.).

Hver informasjonskapsel bør identifiseres ved navn. «Vi bruker analyse-informasjonskapsler» er ikke tilstrekkelig – du må liste opp de spesifikke informasjonskapslene: _ga, _gid, _gat for Google Analytics, for eksempel.

2. Formålet med hver informasjonskapsel

For hver informasjonskapsel eller gruppe av relaterte informasjonskapsler forklarer du hva den gjør på et enkelt språk. Unngå teknisk sjargong. Effektive formålsbeskrivelser:

  • «Lagrer dine cookie-samtykkevalg slik at vi ikke spør på nytt ved hvert besøk.»
  • «Hjelper oss å telle hvor mange som besøker nettstedet vårt og hvilke sider som er mest populære.»
  • «Lar oss vise deg annonser som er relevante for dine interesser på andre nettsteder.»

3. Førsteparts vs. tredjeparts

Angi om hver informasjonskapsel settes direkte av nettstedet ditt (førsteparts) eller av en ekstern tjeneste (tredjeparts). For tredjeparts informasjonskapsler identifiserer du leverandøren og lenker til deres personvernerklæring. Brukerne har rett til å vite ikke bare at data samles inn, men også av hvem.

4. Varighet / utløp

Oppgi hvor lenge hver informasjonskapsel varer. Det finnes to typer:

  • Øktinformasjonskapsler (session cookies) – slettes når brukeren lukker nettleseren. Oppgi dette tydelig: «Økt (slettes når du lukker nettleseren).»
  • Vedvarende informasjonskapsler (persistent cookies) – blir liggende på brukerens enhet i en fastsatt periode. Oppgi den spesifikke varigheten: «2 år», «30 dager», «13 måneder». Ikke bruk vage uttrykk som «langsiktig».

Datatilsynsmyndigheter har gransket cookie-varigheter nøye. CNIL anbefaler for eksempel at samtykke-informasjonskapsler (informasjonskapslene som lagrer brukerens samtykkevalg) ikke bør overstige 13 måneder.

5. Hvordan administrere og slette informasjonskapsler

Forklar hvordan brukerne kan kontrollere informasjonskapsler gjennom to mekanismer:

  • Samtykkebanneret ditt. Forklar at brukerne kan endre cookie-innstillingene sine når som helst gjennom cookie-innstillingene dine (oppgi plasseringen av innstillingslenken/ikonet).
  • Nettleserinnstillinger. Gi generelle instruksjoner for å administrere informasjonskapsler i vanlige nettlesere (Chrome, Firefox, Safari, Edge). Du trenger ikke gi trinnvise instruksjoner, men du bør forklare at nettleserinnstillinger finnes og lenke til de relevante støttesidene for hver nettleser.

6. Hvordan trekke tilbake samtykke

GDPR artikkel 7(3) krever at det skal være like enkelt å trekke tilbake samtykke som å gi det, og at brukerne informeres om denne retten før de gir samtykke. Cookie-erklæringen din må forklare:

  • At brukeren har rett til å trekke tilbake samtykke når som helst.
  • Hvordan dette gjøres (typisk: klikk på cookie-innstillingsikonet/-lenken som er synlig på hver side, eller slett informasjonskapsler via nettleserinnstillingene).
  • At tilbaketrekking av samtykke ikke påvirker lovligheten av behandling basert på samtykke før tilbaketrekkingen.

7. Cookie-kategorier

Organiser informasjonskapslene i de standardkategoriene som brukes av samtykkebanneret ditt. Den mest utbredte kategoriseringen er:

  • Strengt nødvendige – informasjonskapsler som kreves for at nettstedet skal fungere (innloggingsøkter, handlekurver, sikkerhetstokener). Disse krever ikke samtykke etter ePrivacy-direktivet.
  • Preferanser / funksjonelle – informasjonskapsler som husker brukervalg (språk, region, visningsinnstillinger). Disse forbedrer opplevelsen, men er ikke nødvendige.
  • Analyse / statistikk – informasjonskapsler som brukes til å samle inn anonyme bruksdata (sidevisninger, trafikkilder, brukeradferdsmønstre).
  • Markedsføring / annonsering – informasjonskapsler som brukes til målrettet annonsering, retargeting og annonsemåling.

Kategoriene i cookie-erklæringen din bør stemme overens med kategoriene i samtykkebanneret ditt. Inkonsistens mellom de to dokumentene undergraver åpenheten.

8. Kontaktinformasjon

Oppgi kontaktinformasjon for spørsmål om cookie-praksisen din. Dette omfatter typisk:

  • Identiteten til den behandlingsansvarlige (firmanavn og registrert adresse)
  • E-postadresse for personvernhenvendelser
  • Kontaktinformasjon til personvernombudet (DPO), dersom du har utnevnt et
  • Din tilsynsmyndighet (den relevante datatilsynsmyndigheten)

Hvor du skal vise cookie-erklæringen

Cookie-erklæringen din må være lett tilgjengelig fra flere steder:

  • Bunntekst på nettstedet. En «Cookie-erklæring»-lenke i bunnteksten, synlig på hver side. Dette er den standardplasseringen brukerne forventer.
  • Cookie-banner. En direkte lenke fra cookie-banneret til den fullstendige cookie-erklæringen. Dette er et lovkrav – brukerne må kunne få tilgang til detaljert informasjon fra samtykkegrensesnittet.
  • Panel for cookie-innstillinger/-preferanser. Det andre laget i samtykkegrensesnittet ditt bør lenke til cookie-erklæringen for brukere som ønsker mer informasjon.
  • Personvernerklæring. Hvis cookie-erklæringen din er et eget dokument, henviser du til den fra personvernerklæringen og omvendt.

Presentasjon av cookie-informasjon

Det mest effektive og transparente formatet for å presentere enkeltinformasjonskapsler er en tabell. Datatilsynsmyndigheter, herunder ICO, anbefaler dette formatet:

Cookie-navn Leverandør Formål Type Varighet
_ga Google Analytics Skiller unike besøkende fra hverandre ved å tildele et tilfeldig generert tall Tredjeparts, analyse 2 år
_gid Google Analytics Skiller unike besøkende fra hverandre for inneværende dag Tredjeparts, analyse 24 timer
cookie_consent Dette nettstedet Lagrer dine cookie-samtykkevalg Førsteparts, nødvendig 12 måneder

Dette formatet er tydelig, lett å skumme gjennom og gir all nødvendig informasjon med et raskt blikk.

Hvor ofte du bør oppdatere

Cookie-erklæringen din må være korrekt til enhver tid. Oppdater den hver gang:

  • Du legger til en ny tredjepartstjeneste som setter informasjonskapsler (et nytt analyseverktøy, en ny markedsføringsplattform, en ny chatbot).
  • Du fjerner en tjeneste som tidligere satte informasjonskapsler.
  • En tredjepartstjeneste endrer sine informasjonskapsler (nye navn, nye varigheter, nye formål).
  • Du endrer kategoriene i samtykkebanneret ditt.
  • Regulatorisk veiledning endres (nye krav, nye beste praksiser).

Inkluder en «Sist oppdatert»-dato øverst eller nederst i cookie-erklæringen. Dette viser at erklæringen aktivt vedlikeholdes og hjelper brukerne å vurdere hvor aktuell den er.

Utfordringen er selvsagt å vite når informasjonskapslene dine endres. Tredjepartstjenester oppdaterer sporingen sin ofte, og en informasjonskapsel som fantes for tre måneder siden, kan ha blitt erstattet eller fått nytt navn. Manuelle revisjoner er upålitelige fordi de er avhengige av at noen husker å sjekke.

Hold erklæringen korrekt med automatisk skanning

Den vanligste etterlevelsessvikten i cookie-erklæringer er ikke fravær av informasjon – det er uriktig informasjon. En erklæring som lister opp informasjonskapsler du ikke lenger bruker, eller som unnlater å nevne informasjonskapsler lagt til av en nylig integrasjon av et markedsføringsverktøy, er ikke i samsvar med regelverket.

Automatisk cookie-skanning løser dette problemet. En skanner besøker nettstedet ditt med jevne mellomrom, identifiserer alle informasjonskapsler som settes, sammenligner dem med de deklarerte informasjonskapslene dine og varsler deg om avvik.

Passiro skanner automatisk nettstedet ditt for informasjonskapsler, kategoriserer dem og fremhever eventuelle udeklarerte informasjonskapsler som ennå ikke gjenspeiles i erklæringen din. Det betyr at cookie-erklæringen din forblir korrekt uten manuelle revisjoner. Lær mer om Passiros automatiske cookie-skanning.

I denne seksjonen

Overholder nettstedet ditt informasjonskapselreglene?

Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.

Skann informasjonskapslene dine gratis