Skip to main content

Skanning og revisjon av informasjonskapsler: Vit hva nettstedet ditt setter

Du kan ikke overholde regelverket for informasjonskapsler dersom du ikke vet hvilke informasjonskapsler nettstedet ditt setter. Dette virker opplagt, men det er likevel det enkeltstående punktet der flest feiler i etterlevelsen av regler for informasjonskapsler. Nettsteder er i stadig endring — nye programtillegg installeres, markedsføringstagger legges til, tredjepartsskript oppdateres — og hver endring kan introdusere nye informasjonskapsler. En revisjon av informasjonskapsler er ikke en engangsaktivitet. Det er en løpende prosess som må holde tritt med hvordan nettstedet ditt utvikler seg.

Hvorfor skanning av informasjonskapsler er viktig

Enhver forpliktelse knyttet til etterlevelse av regler for informasjonskapsler avhenger av at du har en nøyaktig og fullstendig oversikt over informasjonskapslene dine. Uten den:

  • Er samtykkebanneret ditt ufullstendig. Hvis banneret lister opp fire kategorier informasjonskapsler, men nettstedet faktisk setter informasjonskapsler i en femte kategori, kan ikke brukerne gi et informert samtykke. Samtykket deres er ugyldig etter GDPR.
  • Er informasjonskapselerklæringen din unøyaktig. Datatilsynsmyndigheter forventer at informasjonskapselerklæringen din lister opp hver informasjonskapsel etter navn, formål, type og varighet. En ufullstendig eller utdatert erklæring er en etterlevelsessvikt som datatilsynsmyndigheter aktivt ser etter under revisjoner.
  • Blokkerer samtykkemekanismen din kanskje ikke alle informasjonskapsler. Hvis et nylig tillagt skript setter informasjonskapsler som ikke er inkludert i konfigurasjonen for samtykkehåndtering, utløses disse informasjonskapslene uten samtykke — et direkte brudd på artikkel 5(3) i ePrivacy-direktivet.
  • Kan du ikke svare på brukerforespørsler. Etter GDPR har brukere rett til å vite hvilke data du samler inn om dem. Hvis du ikke vet hvilke informasjonskapsler nettstedet ditt setter, kan du ikke gi nøyaktige svar på innsynsforespørsler fra registrerte.

Hva en skanning av informasjonskapsler avdekker

En grundig skanning av informasjonskapsler identifiserer:

  • Navn på informasjonskapsler: Den nøyaktige identifikatoren for hver informasjonskapsel (f.eks. _ga, _fbp, JSESSIONID).
  • Opprinnelse: Om informasjonskapselen er førsteparts (satt av ditt domene) eller tredjeparts (satt av et eksternt domene).
  • Type: Øktinformasjonskapsel (slettes når nettleseren lukkes) eller vedvarende informasjonskapsel (blir værende i en angitt varighet).
  • Varighet: Hvor lenge informasjonskapselen består før den utløper (f.eks. 30 minutter, 1 år, 2 år).
  • Formål: Hva informasjonskapselen gjør — økthåndtering, analyse, annonsering, personalisering eller funksjonelle formål.
  • Kategori: Etterlevelseskategorien informasjonskapselen tilhører — strengt nødvendig, funksjonell, analyse/ytelse eller markedsføring/annonsering.
  • Tredjepartsleverandør: Hvis informasjonskapselen er satt av en tredjepart, hvilken tjeneste den tilhører (Google Analytics, Facebook, HubSpot, Hotjar osv.).
  • Innsamlede data: Hvilken informasjon informasjonskapselen lagrer eller muliggjør innsamling av.

Manuell skanning av informasjonskapsler med nettleserens utviklerverktøy

Den mest grunnleggende metoden for skanning av informasjonskapsler bruker utviklerverktøyene som er innebygd i alle moderne nettlesere. Selv om manuell skanning har betydelige begrensninger, er den nyttig for stikkprøver og for å forstå hvordan informasjonskapsler fungerer på nettstedet ditt.

Steg for steg: Manuell revisjon av informasjonskapsler i Chrome

  1. Åpne et inkognito-/privat vindu. Dette sikrer at du starter med blanke ark — ingen eksisterende informasjonskapsler fra tidligere besøk.
  2. Åpne utviklerverktøyene (trykk F12 eller høyreklikk og velg «Inspiser»).
  3. Gå til fanen Application (i Chrome) eller fanen Storage (i Firefox).
  4. Utvid seksjonen «Cookies» i sidefeltet til venstre. Du vil se en liste over domener.
  5. Besøk nettstedet ditt uten å samhandle med samtykkebanneret. Merk deg hvilke informasjonskapsler som settes umiddelbart — dette er informasjonskapslene som settes før samtykke, og som kun bør være strengt nødvendige informasjonskapsler.
  6. Godta alle informasjonskapsler i samtykkebanneret. Oppdater fanen Application/Storage og merk deg de nye informasjonskapslene som dukker opp.
  7. Naviger gjennom viktige sider på nettstedet ditt (forside, produktsider, kasse, kontaktskjema, blogg). Noen informasjonskapsler settes bare på bestemte sider eller etter bestemte handlinger.
  8. Dokumenter hver informasjonskapsel: For hver informasjonskapsel du finner, noter navn, domene, sti, utløpsdato, størrelse og om den er HTTP-only eller secure.
  9. Sjekk fanen Network for ytterligere sporing. Noen sporingsteknologier bruker piksler, beacons eller API-kall i stedet for tradisjonelle informasjonskapsler. Network-fanen avdekker alle utgående forespørsler til tredjepartsdomener.

Begrensninger ved manuell skanning

Manuell skanning er verdifullt for læring og stikkprøver, men den har alvorlige begrensninger med tanke på etterlevelse:

  • Ufullstendig dekning. Du kan bare sjekke sider du besøker manuelt. Et stort nettsted med hundrevis av sider kan sette ulike informasjonskapsler på ulike sider. Manuell skanning kan i praksis ikke dekke dem alle.
  • Ingen kategorisering. Utviklerverktøyene viser deg rådataene for informasjonskapslene, men kategoriserer dem ikke etter formål eller etterlevelseskategori. Du må undersøke hver informasjonskapsel individuelt.
  • Kun et øyeblikksbilde. Manuell skanning gir deg et øyeblikksbilde. Den oppdager ikke nye informasjonskapsler som legges til etter revisjonen din.
  • Ingen verifisering av skriptblokkering. Manuell skanning kan ikke enkelt bekrefte at plattformen for samtykkehåndtering korrekt blokkerer skript før samtykke.
  • Tidkrevende. For et nettsted med til og med bare 20 sider tar det timer å manuelt sjekke hver side og dokumentere hver informasjonskapsel.

Automatisert skanning av informasjonskapsler

Verktøy for automatisert skanning av informasjonskapsler løser begrensningene ved manuell skanning ved å gjennomsøke hele nettstedet ditt, identifisere alle informasjonskapsler og kategorisere dem systematisk. Et godt verktøy for automatisert skanning tilbyr:

  • Omfattende gjennomsøking: Skanneren besøker hver side på nettstedet ditt (eller et definert utvalg), inkludert sider som bare er tilgjengelige via navigasjon eller søk.
  • Før og etter samtykke: Skanneren sjekker hvilke informasjonskapsler som settes før samtykke gis, hvilke som dukker opp etter samtykke, og om avviste kategorier blokkeres korrekt.
  • Automatisk kategorisering: Kjente informasjonskapsler (som Google Analytics' _ga eller Facebooks _fbp) kategoriseres automatisk basert på vedlikeholdte databaser over formålene til informasjonskapsler.
  • Identifisering av tredjeparter: Alle tredjepartsdomener som setter informasjonskapsler identifiseres og dokumenteres.
  • Planlagt skanning: Skanninger kjøres automatisk etter en tidsplan (ukentlig, etter distribusjoner) for å fange opp nye informasjonskapsler når de dukker opp.
  • Endringsdeteksjon: Skanneren varsler deg når nye informasjonskapsler dukker opp eller eksisterende endres, slik at du kan oppdatere samtykkemekanismen og informasjonskapselerklæringen.
  • Etterlevelsesrapporter: Resultatene formateres på en måte som støtter etterlevelsesdokumentasjonen din.

Hva du bør se etter i et skanneverktøy for informasjonskapsler

Når du vurderer løsninger for automatisert skanning av informasjonskapsler, bør du ta følgende i betraktning:

  1. JavaScript-rendering: Mange informasjonskapsler settes av JavaScript som kjører etter at siden er lastet. Skanneren må kjøre JavaScript (ved hjelp av en ekte nettlesermotor) for å oppdage disse informasjonskapslene. Enkle HTTP-crawlere som ikke rendrer JavaScript, vil gå glipp av de fleste tredjeparts informasjonskapsler.
  2. Dybde i gjennomsøkingen: Skanneren bør følge interne lenker og gjennomsøke hele nettstedet, ikke bare forsiden. Informasjonskapsler som settes av innebygde videoer, skjemaer, chatmoduler eller betalingsleverandører på bestemte sider, vil bli oversett hvis bare forsiden skannes.
  3. Simulering av førstegangsbesøk: Skanneren bør simulere en førstegangsbesøkende (ingen eksisterende informasjonskapsler, ingen samtykke gitt) for å bekrefte at ingen ikke-essensielle informasjonskapsler settes før samtykke.
  4. Database over informasjonskapsler: En vedlikeholdt database over kjente informasjonskapsler med deres formål og kategorier reduserer den manuelle innsatsen ved klassifisering dramatisk.
  5. Rapportering: Tydelige, eksporterbare rapporter som kan deles med juridiske, markedsførings- og utviklingsteam.
  6. Planlegging og varsler: Automatisk skanning etter en konfigurerbar tidsplan med varsler når nye informasjonskapsler oppdages.

Prosessen for skanning av informasjonskapsler

En grundig skanning av informasjonskapsler følger fem steg, enten den utføres manuelt eller med automatiserte verktøy:

Steg 1: Gjennomsøk alle sider

Start med å bygge et komplett kart over nettstedet ditt. Dette inkluderer alle offentlige sider, autentiserte sider (hvis aktuelt), landingssider, takkesider, feilsider og enhver side en besøkende måtte få tilgang til. Ikke begrens skanningen til forsiden — informasjonskapsler settes ofte av tredjepartsskript som bare lastes på bestemte sider (f.eks. en innebygd YouTube-video i et blogginnlegg, en betalingsleverandør på kassesiden, eller en chatmodul som bare vises på støttesider).

Steg 2: Identifiser alle informasjonskapsler

For hver side registrerer du hver informasjonskapsel som settes. Dette inkluderer både HTTP-informasjonskapsler (synlige i Set-Cookie-headeren og nettleserens lagring av informasjonskapsler) og mekanismer for lagring på klientsiden (localStorage, sessionStorage, IndexedDB) som kan fungere som sporingsteknologier selv om de teknisk sett ikke er informasjonskapsler.

Steg 3: Fastslå opprinnelsen til informasjonskapslene

For hver informasjonskapsel identifiserer du om den er førsteparts (satt av ditt eget domene) eller tredjeparts (satt av et eksternt domene). Tredjeparts informasjonskapsler er spesielt viktige for etterlevelse fordi de vanligvis innebærer deling av data med eksterne organisasjoner, noe som krever opplysning i informasjonskapselerklæringen din og, i mange tilfeller, en databehandleravtale.

Steg 4: Klassifiser informasjonskapsler etter kategori

Tilordne hver informasjonskapsel til en etterlevelseskategori:

  • Strengt nødvendig: Nødvendig for at nettstedet skal fungere. Kan ikke deaktiveres av brukeren. Eksempler: øktinformasjonskapsler, CSRF-tokens, informasjonskapsler for lastbalansering, informasjonskapsler for samtykkepreferanser.
  • Funksjonell: Muliggjør forbedret funksjonalitet og personalisering. Eksempler: språkpreferanser, regionsvalg, nylig viste elementer (når de ikke brukes til annonsering).
  • Analyse/ytelse: Samler informasjon om hvordan besøkende bruker nettstedet. Eksempler: informasjonskapsler fra Google Analytics, Hotjar, Matomo.
  • Markedsføring/annonsering: Sporer besøkende på tvers av nettsteder for annonseformål. Eksempler: Facebook Pixel, informasjonskapsler fra Google Ads, retargeting-informasjonskapsler, informasjonskapsler for affiliate-sporing.

Steg 5: Dokumenter formål, varighet og type

For hver informasjonskapsel dokumenterer du formålet i et enkelt språk som en ikke-teknisk person kan forstå, varigheten (økt eller vedvarende, og hvis vedvarende, hvor lenge) og typen (HTTP-informasjonskapsel, localStorage osv.). Denne dokumentasjonen danner grunnlaget for informasjonskapselerklæringen din og informasjonen som gis i samtykkebanneret.

Løpende overvåking

En skanning av informasjonskapsler er bare gyldig i det øyeblikket den utføres. Nettstedet ditt er ikke statisk — det utvikler seg med hver distribusjon, hver oppdatering av programtillegg og hver markedsføringskampanje. Løpende overvåking er avgjørende fordi:

  • Nye skript introduserer nye informasjonskapsler. Når en utvikler legger til et nytt analyseverktøy, et markedsføringsteam installerer en ny sporingspiksel, eller et programtillegg oppdateres, kan nye informasjonskapsler dukke opp på nettstedet ditt uten at noen eksplisitt har bestemt seg for å legge dem til.
  • Tredjepartsskript endres. Selv om du ikke endrer nettstedet ditt, kan tredjepartstjenestene du bruker oppdatere skriptene sine og introdusere nye informasjonskapsler. En oppdatering av Google Analytics, en endring av en modul for sosiale medier, eller en endring i CDN-konfigurasjonen kan alle påvirke informasjonskapslene på nettstedet ditt.
  • Etterlevelse er en kontinuerlig prosess. Datatilsynsmyndigheter forventer at informasjonskapselerklæringen og samtykkemekanismen din gjenspeiler den nåværende tilstanden til nettstedet ditt. En erklæring som var nøyaktig for seks måneder siden, men som ikke inkluderer informasjonskapsler som har blitt lagt til siden da, er ikke i samsvar med regelverket i dag.

Beste praksis er å kjøre automatiserte skanninger etter hver distribusjon og minimum månedlig. Sett opp varsler for nye informasjonskapsler slik at teamet ditt kan vurdere, kategorisere og legge dem til i samtykkemekanismen før de blir et etterlevelsesproblem.

Skanning av informasjonskapsler og informasjonskapselerklæringen din

Informasjonskapselerklæringen din og resultatene fra skanningen av informasjonskapsler må holdes synkronisert. Hver informasjonskapsel som identifiseres i en skanning, bør dokumenteres i erklæringen din, og hver informasjonskapsel som er oppført i erklæringen din, bør faktisk være til stede på nettstedet ditt. Et avvik i begge retninger er et problem:

  • Informasjonskapsler på nettstedet, men ikke i erklæringen: Dette betyr at brukerne ikke er informert om all sporing på nettstedet ditt. Samtykket deres, selv om det gis, dekker kanskje ikke uopplyste informasjonskapsler.
  • Informasjonskapsler i erklæringen, men ikke på nettstedet: Selv om det er mindre alvorlig, skaper det forvirring å liste opp informasjonskapsler som ikke finnes, og det svekker tilliten til at dokumentasjonen din er nøyaktig.

Den mest effektive tilnærmingen er å integrere skanneverktøyet med informasjonskapselerklæringen din, slik at erklæringen oppdateres automatisk når nye informasjonskapsler oppdages. Dette eliminerer det manuelle steget med å oppdatere erklæringen etter hver skanning og reduserer risikoen for at de to kommer i utakt.

Hvordan Passiro håndterer skanning av informasjonskapsler

Passiros skanner bruker en headless nettlesermotor for å besøke hver side på nettstedet ditt, og kjører JavaScript nøyaktig slik en ekte besøkendes nettleser ville gjort. Dette sikrer at informasjonskapsler satt av dynamisk lastede skript, innebygd innhold og rammeverk for enkeltsideapplikasjoner alle oppdages. Skanneren kjører før og etter simulert samtykke for å bekrefte at samtykkehåndteringen din fungerer korrekt — at ikke-essensielle informasjonskapsler virkelig blokkeres til samtykke er gitt.

Skanneresultatene kategoriseres automatisk ved hjelp av en kontinuerlig oppdatert database over kjente informasjonskapsler, med mulighet for å klassifisere eller omklassifisere en hvilken som helst informasjonskapsel manuelt. Planlagte skanninger kjøres på et konfigurerbart grunnlag, og du mottar varsler når nye informasjonskapsler dukker opp på nettstedet ditt, slik at du kan handle før de blir en etterlevelsesrisiko.

Hvor ofte bør du skanne?

Riktig skannefrekvens avhenger av hvor ofte nettstedet ditt endres:

  • Etter hver distribusjon: Enhver kodeendring kan potensielt introdusere nye informasjonskapsler. Integrer skanning av informasjonskapsler i CI/CD-pipelinen din, eller kjør en skanning etter hver utgivelse.
  • Etter å ha lagt til tredjepartstjenester: Hver gang du legger til et nytt analyseverktøy, en markedsføringsplattform, en chatmodul, en betalingsleverandør eller et hvilket som helst tredjepartsskript, bør du skanne umiddelbart.
  • Minimum månedlig: Selv om du ikke gjør noen endringer, kan tredjepartsskript på nettstedet ditt oppdateres og introdusere nye informasjonskapsler. En månedlig skanning fanger opp disse endringene.
  • Etter oppdateringer av CMP-en: Hvis du oppdaterer plattformen for samtykkehåndtering eller endrer kategoriene for informasjonskapsler, bør du skanne for å bekrefte at endringene fungerer som forventet.
  • Kvartalsvis gjennomgang: I tillegg til automatisert skanning bør du gjennomføre en kvartalsvis manuell gjennomgang av oversikten over informasjonskapsler for å bekrefte at kategoriseringene fortsatt er nøyaktige, at tredjepartsleverandørene fortsatt er nødvendige, og at informasjonskapselerklæringen din gjenspeiler virkeligheten.

Organisasjonene som behandler skanning av informasjonskapsler som rutinevedlikehold snarere enn en periodisk revisjon, er de som opprettholder kontinuerlig etterlevelse — og som unngår den ubehagelige overraskelsen ved å oppdage udokumenterte sporingsinformasjonskapsler under en tilsynsundersøkelse.

Overholder nettstedet ditt informasjonskapselreglene?

Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.

Skann informasjonskapslene dine gratis