Skip to main content

Ressurser og ordliste for cookie-samsvar

Cookie-samsvar involverer et spesialisert vokabular hentet fra EU-regelverk, personvernlovgivning og webteknologi. Denne ordlisten definerer de sentrale begrepene du vil støte på, etterfulgt av en kuratert samling av offisielle ressurser og autoritative referanser for videre studier.

Ordliste over sentrale begreper

A–C

CMP (Consent Management Platform): Et programvareverktøy eller en tjeneste som håndterer innsamling, lagring og håndhevelse av brukersamtykke for cookies og annen sporingsteknologi. En CMP tilbyr vanligvis grensesnittet for cookie-banneret, lagrer samtykkeoppføringer og styrer hvilke skript som får lov til å kjøre basert på brukerens valg. Eksempler inkluderer Cookiebot, OneTrust, Usercentrics og åpen kildekode-løsninger som Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Den franske datatilsynsmyndigheten. CNIL har vært den mest aktive europeiske reguleringsmyndigheten innen cookie-håndhevelse, med de største cookie-relaterte bøtene og de mest detaljerte retningslinjene for cookie-samsvar. Deres tolkninger og håndhevelsestiltak setter ofte standarden som andre datatilsyn følger.

Samtykke: I GDPR-sammenheng en frivillig, spesifikk, informert og utvetydig viljesytring fra en registrert, uttrykt gjennom en klar bekreftende handling. For cookies betyr dette at brukeren aktivt må velge å tillate ikke-nødvendige cookies gjennom en bevisst handling, som å klikke på en «Godta»-knapp. Taushet, forhåndsavkryssede bokser, inaktivitet og fortsatt surfing utgjør ikke gyldig samtykke.

Cookie: En liten tekstfil som plasseres på en brukers enhet av et nettsted. Cookies brukes til et bredt spekter av formål, fra å opprettholde innloggingsøkter (strengt nødvendig) til å spore surfeatferd på tvers av nettet (annonsering). Teknisk sett er en cookie et navn-verdi-par med tilhørende metadata, inkludert domene, sti, utløpstid og sikkerhetsflagg.

Cookie-banner: Grensesnittelementet (vanligvis en linje, modal eller popup) som vises når en bruker først besøker et nettsted, og som informerer dem om nettstedets bruk av cookies og ber om deres samtykke. Et samsvarende cookie-banner gir klar informasjon, tilbyr reelle valg (godta, avslå, tilpasse) og setter ikke ikke-nødvendige cookies før brukeren svarer.

Cookie-erklæring: Et dokument (vanligvis en dedikert nettside eller en del av personvernerklæringen) som gir detaljert informasjon om alle cookies som brukes på et nettsted, inkludert navn, formål, typer, varighet og tredjepartsleverandørene som setter dem. Cookie-erklæringen oppfyller GDPRs krav til åpenhet og ePrivacy-direktivets krav om «klar og fullstendig informasjon».

Cookie-vegg: En mekanisme som blokkerer tilgang til nettstedinnhold med mindre brukeren samtykker til alle cookies. Cookie-vegger er kontroversielle, og lovligheten varierer mellom jurisdiksjoner. EDPB har uttalt at cookie-vegger undergraver kravet om «frivillig» gyldig samtykke, ettersom brukeren står overfor et ta-det-eller-la-det-være-valg. Enkelte nasjonale datatilsyn (særlig franske Conseil d'Etat) har tillatt cookie-vegger under begrensede vilkår der brukeren har et reelt alternativt middel for å få tilgang til innholdet.

D–E

Dark pattern: Et designvalg i brukergrensesnittet som manipulerer brukere til å ta beslutninger de ellers ikke ville tatt. I cookie-sammenheng inkluderer dark patterns: å gjøre «Godta»-knappen visuelt dominerende mens «Avslå»-alternativet skjules, bruk av forvirrende språk, å kreve flere klikk for å avslå enn å godta, og bruk av skammende taktikker. EDPB publiserte spesifikke retningslinjer om dark patterns i personverngrensesnitt i februar 2023.

Behandlingsansvarlig: Enheten som bestemmer formålene med og midlene for behandling av personopplysninger. For cookies satt av et nettsted er nettstedoperatøren vanligvis behandlingsansvarlig. For tredjeparts-cookies kan det være felles behandlingsansvar mellom nettstedoperatøren og tredjeparten, avhengig av i hvilken grad hver part påvirker formålene med og midlene for datainnsamlingen.

Databehandler: En enhet som behandler personopplysninger på vegne av en behandlingsansvarlig, etter den behandlingsansvarliges instrukser. En hostingleverandør eller en CMP-leverandør som utelukkende handler etter nettstedoperatørens instrukser, vil være en databehandler. Skillet er viktig fordi behandlingsansvarlige har hovedansvaret for samsvar, mens databehandlere må følge den behandlingsansvarliges instrukser og vilkårene i en databehandleravtale.

Registrert: En fysisk person hvis personopplysninger behandles. I cookie-sammenheng er de registrerte nettstedbesøkende hvis data samles inn via cookies. Registrerte har rettigheter etter GDPR, inkludert rett til innsyn, retting, sletting, begrensning av behandling, dataportabilitet og rett til å protestere.

DPA (Data Protection Authority / datatilsyn): Den uavhengige offentlige myndigheten som er ansvarlig for å overvåke og håndheve personvernlovgivningen i hver EU-medlemsstat. Datatilsyn har myndighet til å undersøke klager, gjennomføre revisjoner, utstede veiledning og ilegge bøter. Hver medlemsstat har minst ett datatilsyn (Tyskland har flere, ett per delstat pluss den føderale BfDI). Eksempler: CNIL (Frankrike), Garante (Italia), ICO (Storbritannia), Datatilsynet (Danmark/Norge).

DPO (Data Protection Officer / personvernombud): En person utpekt av en behandlingsansvarlig eller databehandler for å føre tilsyn med GDPR-samsvar. GDPR krever at visse organisasjoner utpeker et personvernombud, inkludert offentlige myndigheter og organisasjoner hvis kjernevirksomhet innebærer storskala overvåking av registrerte. Selv om det ikke er direkte knyttet til cookies, fører personvernombudet vanligvis tilsyn med organisasjonens program for cookie-samsvar.

EDPB (European Data Protection Board / Personvernrådet): Det uavhengige EU-organet som sikrer konsistent anvendelse av GDPR og fremmer samarbeid mellom nasjonale datatilsyn. EDPB (som erstattet Artikkel 29-gruppen) utsteder retningslinjer, anbefalinger og bindende avgjørelser. Retningslinjene om samtykke (Guidelines 05/2020) og om dark patterns er sentrale referanser for cookie-samsvar.

ePrivacy-direktivet (direktiv 2002/58/EF): EU-direktivet som regulerer personvern i elektronisk kommunikasjon, inkludert bruk av cookies. Artikkel 5(3) er det primære rettslige grunnlaget for kravet om cookie-samtykke. Som direktiv må det innarbeides i nasjonal lovgivning av hver medlemsstat, noe som fører til variasjoner i gjennomføringen. Det skal erstattes av ePrivacy-forordningen, som fortsatt er under forhandling.

F–G

Førstepartscookie: En cookie satt av domenet brukeren besøker. For eksempel, hvis en bruker besøker example.com og example.com setter en cookie, er det en førstepartscookie. Førstepartscookies brukes vanligvis til essensielle funksjoner (økter, preferanser) og førsteparts analyse. De anses generelt som mindre inngripende enn tredjepartscookies fordi de ikke kan spore brukere på tvers av ulike nettsteder.

GDPR (General Data Protection Regulation): Forordning (EU) 2016/679, EUs omfattende personvernlovgivning som har vært i kraft siden 25. mai 2018. GDPR gir det rettslige rammeverket for hva som utgjør gyldig samtykke (anvendt på cookies gjennom ePrivacy-direktivets henvisning), de registrertes rettigheter, forpliktelsene til behandlingsansvarlige og databehandlere, og håndhevelsesregimet, inkludert bøter på inntil 4 % av global årlig omsetning eller 20 millioner euro.

GPC (Global Privacy Control): Et signal på nettlesernivå som kommuniserer en brukers preferanse om å reservere seg mot salg eller deling av personopplysningene sine. I motsetning til det eldre Do Not Track (DNT)-signalet har GPC juridisk forankring under CCPA/CPRA og flere andre amerikanske delstatslover om personvern. Når en bruker aktiverer GPC i nettleseren sin, må nettsteder som omfattes av disse lovene behandle det som en gyldig reservasjonsforespørsel. GPC anerkjennes også i økende grad i Europa, selv om det ennå ikke er juridisk pålagt under EU-retten.

Google Consent Mode: En funksjon i Googles tag-infrastruktur som justerer atferden til Google-tags (Analytics, Ads osv.) basert på samtykkestatusen som kommuniseres av nettstedets CMP. Consent Mode v2, som har vært påkrevd for annonsepersonalisering i EØS siden mars 2024, introduserer parametrene ad_user_data og ad_personalization i tillegg til de eksisterende ad_storage og analytics_storage. Når samtykke nektes, justerer Google-tags atferden for å unngå å sette cookies, selv om de fortsatt kan sende begrensede, cookiefrie pings avhengig av konfigurasjonen.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Et bransjeutviklet rammeverk for å håndtere samtykke i det digitale annonseøkosystemet. TCF gir en standardisert måte for CMP-er, annonsører og publisister å kommunisere samtykkesignaler på tvers av forsyningskjeden i annonseteknologi. Versjon 2.2 er gjeldende standard. TCF har møtt juridiske utfordringer, særlig det belgiske datatilsynets avgjørelse fra 2022 om at IAB Europes behandling av TC-strengen utgjorde behandling av personopplysninger. Rammeverket er fortsatt mye brukt, men den juridiske statusen fortsetter å utvikle seg.

Berettiget interesse: Ett av de seks rettslige grunnlagene for behandling av personopplysninger under GDPR artikkel 6(1)(f). Berettiget interesse krever en avveining mellom den behandlingsansvarliges interesser og den registrertes rettigheter og friheter. For cookies er bruken av berettiget interesse som rettslig grunnlag sterkt omstridt. Det rådende europeiske reguleringssynet er at samtykke (ikke berettiget interesse) er det riktige grunnlaget for ikke-nødvendige cookies, fordi ePrivacy-direktivet spesifikt krever samtykke for lagring på brukerens enhet.

O–P

Opt-in: En samtykkemodell der behandling av personopplysninger (eller setting av cookies) ikke skjer med mindre brukeren tar en bekreftende handling for å tillate det. EUs cookie-modell er opt-in: ingen ikke-nødvendige cookies før brukeren samtykker. Opt-in gir sterkere personvern, men krever en samtykkemekanisme før noen sporing starter.

Opt-out: En samtykkemodell der behandling av personopplysninger (eller setting av cookies) skjer som standard, og brukeren må gjøre noe for å stoppe det. Den amerikanske cookie-modellen (under CCPA og lignende delstatslover) er generelt opt-out: sporing skjer med mindre brukeren protesterer. Opt-out legger ansvaret for handling på brukeren i stedet for på nettstedoperatøren.

Permanent cookie: En cookie som forblir på brukerens enhet i en definert periode etter at nettleseren lukkes. Permanente cookies brukes til å huske preferanser, opprettholde innloggingsøkter på tvers av besøk og spore atferd over tid. De har en fastsatt utløpsdato og forblir til den datoen passerer eller brukeren sletter dem. Varigheten av permanente cookies bør stå i forhold til formålet deres.

Personopplysninger: Under GDPR enhver informasjon som gjelder en identifisert eller identifiserbar fysisk person. Dette inkluderer åpenbare identifikatorer (navn, e-post) og mindre åpenbare (IP-adresser, cookie-identifikatorer, enhetsfingeravtrykk). Fortalepunkt 30 i GDPR slår eksplisitt fast at nettidentifikatorer som cookie-identifikatorer kan utgjøre personopplysninger. I praksis kvalifiserer nesten alle cookies som unikt identifiserer en nettleser eller bruker som personopplysninger.

Forhåndssamtykke: Samtykke innhentet før handlingen det autoriserer finner sted. For cookies betyr forhåndssamtykke å innhente brukerens samtykke før noen ikke-nødvendige cookies settes på enheten deres. Dette er et grunnleggende krav i artikkel 5(3) i ePrivacy-direktivet. Å sette cookies først og deretter be om samtykke, eller å slette cookies retroaktivt dersom samtykke nektes, oppfyller ikke kravet om forhåndssamtykke.

S–T

Øktcookie: En cookie som kun eksisterer så lenge brukerens nettleserøkt varer, og som slettes når nettleseren lukkes. Øktcookies brukes ofte til å opprettholde innloggingsstatus, innhold i handlekurven og andre midlertidige data. Mange øktcookies kvalifiserer som strengt nødvendige og er derfor unntatt fra samtykkekravet, selv om dette avhenger av deres spesifikke formål.

Strengt nødvendig cookie: En cookie som er avgjørende for at nettstedet skal fungere og for å levere en tjeneste som brukeren uttrykkelig har bedt om. Strengt nødvendige cookies er unntatt fra samtykkekravet under artikkel 5(3) i ePrivacy-direktivet. Eksempler inkluderer autentiseringscookies, sikkerhetscookies (CSRF-tokens), lastbalanseringscookies og cookies for brukergrensesnittpreferanser som er avgjørende for tjenesten. Analysecookies, annonseringscookies og cookies for sosiale medier er ikke strengt nødvendige, uansett hvor nyttige nettstedoperatøren mener de er.

Tredjepartscookie: En cookie satt av et annet domene enn det brukeren besøker. For eksempel, hvis en bruker besøker example.com og en cookie settes av facebook.com (via en Facebook Pixel innebygd på example.com), er Facebook-cookien en tredjepartscookie. Tredjepartscookies brukes primært til sporing på tvers av nettsteder og målrettet annonsering. Store nettlesere begrenser eller fjerner tredjepartscookies: Safari og Firefox blokkerer dem allerede som standard, og Chrome har annonsert planer om å fase dem ut (selv om tidsplanen har blitt endret flere ganger).

Sporingspiksel: Et lite, usynlig bilde (vanligvis 1x1 piksel) innebygd i en nettside eller e-post som rapporterer tilbake til en server når det lastes inn. Selv om det teknisk sett ikke er en cookie, er sporingspiksler en beslektet sporingsteknologi som ofte fungerer sammen med cookies for å spore brukeratferd. De er underlagt de samme samtykkekravene som cookies under ePrivacy-direktivet, fordi de innebærer tilgang til informasjon på brukerens enhet (HTTP-forespørselen overfører brukerens IP-adresse, nettleserinformasjon og eventuelle tilknyttede cookies).

Offisielle ressurser

EU-lovgivning og veiledning

Nasjonale datatilsyns cookie-veiledning

Google Consent Mode

IAB Transparency and Consent Framework

Amerikanske personvernlover

Rettspraksis fra EU-domstolen

Videre lesning

Verktøy for cookie-samsvar

Å opprettholde cookie-samsvar krever de rette verktøyene. Passiro tilbyr automatisk cookie-skanning som gjennomsøker hele nettstedet ditt ved hjelp av en ekte nettlesermotor, identifiserer alle cookies og sporingsteknologier, kategoriserer dem ved hjelp av en kontinuerlig oppdatert database, og overvåker endringer med planlagte skanninger og varsler. Kombinert med Passiros plattform for samtykkehåndtering gir dette deg en fullstendig og alltid oppdatert oversikt over nettstedets cookie-samsvar.

Lær mer om Passiros skannefunksjoner eller kjør en gratis skanning av nettstedet ditt for å se hvilke cookies nettstedet ditt setter i dag.

Overholder nettstedet ditt informasjonskapselreglene?

Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.

Skann informasjonskapslene dine gratis