Opt-in vs. opt-out: forstå de to samtykkemodellene
Verden har to fundamentalt forskjellige tilnærminger til samtykke for informasjonskapsler. EU krever opt-in: ingen informasjonskapsler før brukeren sier ja. USA (i de fleste delstater) tillater opt-out: informasjonskapsler plasseres som standard, og brukeren kan si nei. Å forstå disse to modellene – deres rettslige grunnlag, deres konsekvenser og hvor hver av dem gjelder – er avgjørende for enhver nettside med et globalt publikum.
Opt-in-modellen
Under opt-in-modellen kan ikke ikke-nødvendige informasjonskapsler plasseres før brukeren har gitt uttrykkelig, aktivt samtykke. Ingen handling fra brukeren betyr ingen informasjonskapsler. Dette er modellen som kreves av EUs ePrivacy-direktiv (artikkel 5(3)), slik det tolkes gjennom GDPRs definisjon av samtykke (artikkel 4(11)).
Hvordan opt-in fungerer i praksis
- Brukeren besøker nettsiden for første gang.
- Kun strengt nødvendige informasjonskapsler er aktive. Analyse-, markedsførings- og preferansekapsler er blokkert.
- En samtykkemekanisme vises, presenterer kategorier av informasjonskapsler og ber brukeren om å ta et valg.
- Brukeren velger aktivt hvilke kategorier de vil godta (eller klikker på «Godta alle» eller «Avvis alle»).
- Kun skriptene som tilsvarer godkjente kategorier lastes inn.
- Hvis brukeren ikke foretar seg noe, settes ingen ikke-nødvendige informasjonskapsler. Samtykkemekanismen forblir synlig (eller tilgjengelig) til brukeren tar et valg.
Rettslig grunnlag
Kravet om opt-in stammer fra to kilder:
- ePrivacy-direktivet artikkel 5(3): Krever «samtykke» før lagring av informasjon på brukerens enhet.
- GDPR artikkel 4(11): Definerer samtykke som noe som krever en «tydelig bekreftende handling» – noe som utelukker passivitet, forhåndsavkryssede bokser og underforstått samtykke.
- EU-domstolens Planet49-avgjørelse (C-673/17): Bekreftet at aktivt samtykke er påkrevd, og at forhåndsavkryssede bokser ikke utgjør gyldig samtykke.
Hvor opt-in gjelder
Alle EU-/EØS-medlemsstater (27 EU-land pluss Norge, Island og Liechtenstein), samt Storbritannia (som beholdt ePrivacy-reglene etter brexit gjennom Privacy and Electronic Communications Regulations, eller PECR).
Konsekvenser for nettstedeiere
- Forvent betydelige avvisningsrater. Bransjedata tyder på at 30–50 % av europeiske besøkende avviser ikke-nødvendige informasjonskapsler når de får et reelt valg.
- Analysedataene vil være ufullstendige. Du vil kun ha data fra brukere som har samtykket. Dette er ikke en feil – det er det tiltenkte resultatet av regelverket.
- Skriptlasting må være betinget. Du trenger en teknisk mekanisme som blokkerer skript til samtykke er registrert. Dette kan ikke gjøres med et banner alene – det krever faktisk skripthåndtering.
Opt-out-modellen
Under opt-out-modellen kan informasjonskapsler plasseres som standard. Brukeren har rett til å nekte eller melde seg av, men med mindre de foretar seg noe, er sporing tillatt. Dette er modellen som brukes i USA og flere andre jurisdiksjoner.
Hvordan opt-out fungerer i praksis
- Brukeren besøker nettsiden.
- Alle informasjonskapsler – inkludert analyse- og markedsføringskapsler – plasseres umiddelbart.
- En melding informerer brukeren om at informasjonskapsler er i bruk og gir en måte å melde seg av på.
- Hvis brukeren ikke foretar seg noe, forblir informasjonskapslene aktive.
- Hvis brukeren melder seg av, respekteres preferansene deres fremover (og i noen jurisdiksjoner kan tidligere innsamlede data måtte slettes).
Rettslig grunnlag
Opt-out-modellen finnes i:
- CCPA/CPRA (California): Forbrukere i California har rett til å reservere seg mot «salg» eller «deling» av personopplysninger. Informasjonskapsler som brukes til atferdsbasert annonsering på tvers av kontekster utgjør «deling» under CPRA. Forpliktelsen er å tilby en opt-out-mekanisme (ofte via en lenke merket «Do Not Sell or Share My Personal Information»), ikke å innhente forhåndssamtykke.
- CAN-SPAM Act og FTC-veiledning: Den amerikanske føderale tilnærmingen til nettsporing har historisk vært varsel-og-valg snarere enn aktivt samtykke.
- Ulike amerikanske delstatslover: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) og andre følger varianter av opt-out-modellen for målrettet annonsering og datasalg.
Hvor opt-out gjelder
USA (med variasjoner mellom delstater), Canada (PIPEDA – selv om dette kan endre seg med foreslåtte reformer), Australia (under Privacy Act – også under vurdering), og flere andre jurisdiksjoner utenfor EU/EØS.
Konsekvenser for nettstedeiere
- Mer datainnsamling som standard. Siden informasjonskapsler plasseres med mindre brukeren protesterer, blir analyse- og annonsedata mer fullstendige.
- Må tilby en tydelig opt-out-mekanisme. Under CCPA/CPRA betyr dette en lenke merket «Do Not Sell or Share My Personal Information» som er enkel å finne og bruke.
- Må respektere Global Privacy Control (GPC). California-loven krever at bedrifter behandler GPC-nettlesersignalet som en gyldig opt-out-forespørsel.
Detaljert sammenligning
| Aspekt | Opt-in (EU/GDPR) | Opt-out (USA/CCPA) |
|---|---|---|
| Standardtilstand | Informasjonskapsler blokkert til samtykke | Informasjonskapsler aktive som standard |
| Brukerhandling påkrevd | Må handle for å tillate informasjonskapsler | Må handle for å stoppe informasjonskapsler |
| Taushet / passivitet | Betyr ingen samtykke (ingen informasjonskapsler) | Betyr antatt samtykke (informasjonskapsler aktive) |
| Samtykkemekanisme | Detaljert valg per kategori | Opt-out-lenke eller bryter |
| Forhåndsavkryssede bokser | Ikke tillatt (Planet49-avgjørelsen) | Tillatt (opt-out-modellen) |
| Innvirkning på analyse | 30–50 % datatap fra manglende samtykke | Minimalt datatap (få melder seg av) |
| Tilbaketrekking | Like enkelt som å gi samtykke (GDPR art. 7(3)) | Må tilbys, men uten krav om lik enkelhet |
| Barn | Foreldresamtykke under 13–16 år (varierer) | COPPA gjelder for barn under 13 år |
| Sentralt regelverk | ePrivacy-direktivet + GDPR | CCPA/CPRA + delstatslover |
| Maksimale bøter | 20 mill. EUR eller 4 % av global omsetning | 7 500 USD per forsettlig overtredelse (CCPA) |
Kan du bruke ulike modeller for ulike regioner?
Ja, og mange globale nettsteder gjør det. Denne tilnærmingen kalles geografisk målrettet samtykkehåndtering. Nettsiden registrerer den besøkendes plassering (typisk via IP-geolokalisering) og presenterer den riktige samtykkemodellen:
- Besøkende fra EU/EØS/Storbritannia: Opt-in-modell med detaljert samtykke.
- Besøkende fra California: Opt-out-modell med lenke merket «Do Not Sell or Share».
- Andre amerikanske besøkende: Kun varsel (avhengig av gjeldende delstatslov).
- Andre jurisdiksjoner: Basert på gjeldende lokal lovgivning.
Utfordringer med geografisk målretting
- IP-geolokalisering er ikke perfekt. VPN-brukere kan bli feilplassert. Mobilbrukere kan bevege seg mellom jurisdiksjoner.
- Vedlikeholdsbyrde. Du må følge med på regulatoriske utviklinger i hver jurisdiksjon du betjener og oppdatere samtykkeflytene dine deretter.
- Kompleks testing. Du må verifisere at hver regionale variant fungerer korrekt – ulike bannere, ulike standardtilstander, ulik atferd for skriptblokkering.
- GDPR gjelder ekstraterritorielt. Hvis du retter deg mot EU-brukere (artikkel 3(2)), gjelder GDPR uavhengig av hvor virksomheten din er lokalisert. «Målretting» inkluderer å tilby varer eller tjenester til EU-innbyggere eller å overvåke deres atferd.
Beste praksis: velg opt-in som standard
Hvis det å håndtere flere samtykkemodeller virker overveldende, finnes det en enklere vei: velg opt-in-modellen globalt som standard.
Her er hvorfor dette fungerer:
- Etterlevelse overalt. Opt-in-modellen tilfredsstiller de strengeste kravene. Hvis du etterlever GDPRs samtykkekrav, overgår du automatisk kravene i CCPA, LGPD og de fleste andre rammeverk.
- Enkelhet. Én samtykkemekanisme, én implementering, ett sett med tester. Ingen geografisk deteksjon, ingen regionale varianter, ingen spesialtilfeller.
- Fremtidssikring. Den globale trenden går mot strengere samtykkekrav. Foreslåtte reformer i USA, Canada, Australia og India beveger seg alle i retning av mer eksplisitt samtykke. Å bygge for opt-in nå betyr at du slipper å ettermontere senere.
- Brukertillit. Brukere verden over reagerer positivt på transparente og respektfulle samtykkepraksiser. Å tilby et reelt valg – selv der loven ikke strengt krever det – bygger tillit og merkevaretroverdighet.
- Datakvalitet. Samtykkebaserte data er renere, mer forsvarlige og mer verdifulle enn data samlet inn gjennom juridisk uklarhet.
Avveiningen er reell: du vil samle inn mindre data globalt. Men dataene du faktisk samler inn vil være juridisk solide, etisk rene og stadig mer verdifulle etter hvert som tredjepartsdata blir mindre tilgjengelige.
Nye utviklinger
Samtykkelandskapet er ikke statisk. Flere utviklinger er verdt å følge med på:
- ePrivacy-forordningen. EU har jobbet med en erstatning for ePrivacy-direktivet siden 2017. Når den vedtas, vil den bli en direkte gjeldende forordning (som GDPR) snarere enn et direktiv som krever nasjonal gjennomføring. Samtykkereglene for informasjonskapsler forventes å forbli tilsvarende eller strengere enn dagens rammeverk.
- Global Privacy Control (GPC). Dette signalet på nettlesernivå kommuniserer en brukers personvernpreferanser automatisk. California-loven krever allerede at GPC respekteres. Det samme gjør Colorado og Connecticut. Dette kan bli en standardmekanisme for å kommunisere opt-out-preferanser.
- «Consent or pay»-modeller. EDPBs uttalelse fra 2024 om «consent or pay» (særlig i forbindelse med Metas tilnærming) former hvordan tilsynsmyndighetene ser på forholdet mellom samtykke og tilgang til tjenester.
- Samtykke på nettlesernivå. Enkelte forslag ønsker å flytte samtykkehåndtering fra enkeltnettsteder til selve nettleseren, der brukere angir preferansene sine én gang i stedet for på hvert enkelt nettsted. Dette ville fundamentalt endre hvordan samtykke fungerer i praksis.
Passiro hjelper deg med å implementere riktig samtykkemodell for ditt publikum, med automatisk deteksjon og kategorisering av alle informasjonskapsler på nettstedet ditt – enten du velger opt-in, opt-out eller en geografisk målrettet tilnærming.
I vår siste seksjon skal vi se på beste praksis for samtykke – den praktiske og handlingsrettede veiledningen for å implementere samtykke som både er i samsvar med regelverket og brukervennlig.
Overholder nettstedet ditt informasjonskapselreglene?
Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.
Skann informasjonskapslene dine gratis