Skip to main content

Cookie-kategorier: Slik klassifiserer du informasjonskapsler for samtykke

Samtykke til informasjonskapsler er ikke et alt-eller-ingenting-valg. Personvernregelverket krever at brukere kan gjøre detaljerte valg om hvilke typer informasjonskapsler de godtar. For å gjøre dette mulig organiseres informasjonskapsler i kategorier — grupper basert på formålet deres, hver med sine egne samtykkekrav.

Å kategorisere riktig er avgjørende. Å feilklassifisere en markedsføringskapsel som «strengt nødvendig» er ikke bare en teknisk feil — det er et brudd på regelverket som tilsynsmyndighetene aktivt leter etter og bøtelegger.

Hvorfor kategorisering er viktig

GDPR krever at samtykke skal være «spesifikt» (artikkel 4(11)). Artikkel 29-gruppen (nå EDPB) har presisert at dette betyr at samtykke må gis separat for hvert enkelt formål. Å samle alle informasjonskapsler under én enkelt «godta alle» uten å tilby valg per kategori oppfyller ikke denne standarden.

I praksis betyr dette at samtykkemekanismen din må presentere informasjonskapsler gruppert etter formål og la brukere godta eller avvise hver kategori uavhengig av hverandre. Standarden som har vokst frem i bransjen — og som tilsynsmyndighetene forventer — bruker fire kategorier.

De fire standardkategoriene for informasjonskapsler

1. Strengt nødvendige informasjonskapsler

Disse informasjonskapslene er avgjørende for at nettstedet skal fungere på et grunnleggende nivå. Uten dem kan ikke tjenesten brukeren uttrykkelig har bedt om, leveres.

Samtykke kreves: Nei. Strengt nødvendige informasjonskapsler er unntatt fra samtykkekravet etter ePrivacy-direktivet artikkel 5(3), som fastslår at samtykke ikke er nødvendig for informasjonskapsler som er «strengt nødvendige for at leverandøren av en informasjonssamfunnstjeneste uttrykkelig etterspurt av abonnenten eller brukeren skal kunne levere tjenesten».

Eksempler på strengt nødvendige informasjonskapsler:

  • Øktkapsler som opprettholder innloggingsstatus
  • Handlekurvkapsler på et nettbutikksted
  • CSRF-tokener (cross-site request forgery) for beskyttelse
  • Lastbalanseringskapsler som fordeler trafikk mellom servere
  • Kapsler for samtykkepreferanser (kapselen som husker samtykkevalget ditt)
  • Sikkerhetskapsler som oppdager misbruk av autentisering

Hva som IKKE er strengt nødvendig:

  • Analysekapsler — selv førsteparts sådanne. Å måle trafikk er nyttig for nettstedseieren, men det er ikke nødvendig for å levere tjenesten brukeren ba om.
  • Sosiale medier-programtillegg — delingsknapper og innebygde feeder tjener nettstedseierens interesser, ikke en funksjon brukeren uttrykkelig ba om.
  • Reklamekapsler — per definisjon tjener disse et formål utover tjenesten brukeren benytter.
  • A/B-testkapsler — disse tjener nettstedseierens optimaliseringsmål, ikke brukerens uttrykkelige forespørsel.

Den avgjørende testen er perspektiv: nødvendig for hvem? Hvis informasjonskapselen tjener nettstedseierens interesser fremfor en funksjon brukeren uttrykkelig ba om, er den ikke strengt nødvendig — uansett hvor viktig den måtte være for virksomheten.

2. Analyse- / statistikkapsler

Disse informasjonskapslene samler inn informasjon om hvordan besøkende bruker nettstedet: hvilke sider som besøkes, hvor lenge brukere blir, hvor de kommer fra og hvor de faller fra. Dataene aggregeres vanligvis og brukes til å forbedre nettstedet.

Samtykke kreves: Ja, i de fleste jurisdiksjoner. Enkelte datatilsyn (særlig franske CNIL og nederlandske AP) har imidlertid antydet at visse førsteparts analyseverktøy kan kvalifisere for et begrenset unntak, forutsatt at bestemte vilkår er oppfylt (se vår seksjon om når samtykke kreves).

Vanlige analysekapsler:

Kapsel Tjeneste Formål Standard levetid
_ga Google Analytics Skiller unike brukere 2 år
_ga_* Google Analytics 4 Opprettholder øktstatus 2 år
_gid Google Analytics Skiller brukere (24 t) 24 timer
_pk_id.* Matomo Besøkende-ID 13 måneder
_pk_ses.* Matomo Øktsporing 30 minutter
_hjSessionUser_* Hotjar Brukeridentifikator 1 år

Merk at informasjonskapsler fra Google Analytics i sin natur er tredjepartskapsler selv om de kan fremstå som førstepartskapsler — fordi Google behandler dataene på sine egne servere og kan bruke dem til egne formål. Dette skillet har vært vesentlig i flere europeiske håndhevingssaker.

3. Markedsførings- / reklamekapsler

Disse informasjonskapslene sporer besøkende på tvers av nettsteder for å bygge en profil av surfeatferden deres. Denne profilen brukes til å levere målrettet reklame, måle effekten av annonsekampanjer og begrense hvor mange ganger en bruker ser en bestemt annonse.

Samtykke kreves: Alltid. Det finnes ingen unntak for reklamekapsler under noen tolkning av ePrivacy-direktivet eller GDPR.

Vanlige markedsføringskapsler:

Kapsel Tjeneste Formål Standard levetid
_fbp Meta (Facebook) Sporer besøk for annonsemålretting 3 måneder
_gcl_au Google Ads Konverteringssporing 3 måneder
IDE Google DoubleClick Retargeting og annonsevisning 13 måneder
_uetsid Microsoft Advertising Konverteringssporing 1 dag
li_fat_id LinkedIn Indirekte medlemsidentifikator 30 dager

Markedsføringskapsler er nesten alltid tredjeparts. De representerer den høyeste personvernrisikoen og er den mest regulerte kategorien. Enhver samtykkemekanisme som gjør det enklere å godta markedsføringskapsler enn å avvise dem, risikerer tilsynsreaksjoner.

4. Preferanse- / funksjonalitetskapsler

Disse informasjonskapslene muliggjør forbedret funksjonalitet og personalisering utover det strengt nødvendige. De husker valg brukeren har gjort, men er ikke nødvendige for at kjernetjenesten skal fungere.

Samtykke kreves: Ja, selv om risikonivået er lavere enn for analyse- eller markedsføringskapsler. Enkelte tilsynsmyndigheter behandler preferansekapsler med større mildhet, men den rettslige posisjonen er at samtykke fortsatt kreves.

Eksempler:

  • Språkpreferanse (når nettstedet fungerer uten den, bare med et annet standardspråk)
  • Valg av region eller valuta
  • Forhåndsutfylling av brukernavn på innloggingsskjemaer
  • Innstillinger for videospiller (volum, kvalitet)
  • Status for chat-widget (åpen/lukket, samtalehistorikk)
  • Skriftstørrelse eller tilgjengelighetspreferanser

Skillet mellom «strengt nødvendig» og «preferanse» kan være subtilt. En språkkapsel på et enspråklig nettsted er meningsløs. En språkkapsel på et flerspråklig nettsted som faller tilbake på et fungerende språk uten den, er en preferanse. En språkkapsel på et nettsted som ikke kan fungere i det hele tatt uten den — fordi innholdet ikke lastes uten et språkvalg — kan argumenteres å være strengt nødvendig. Konteksten er avgjørende.

Slik kategoriserer du informasjonskapslene dine riktig

Følg denne prosessen for hver informasjonskapsel på nettstedet ditt:

  1. Identifiser informasjonskapselen. Hva heter den, hvem setter den (førstepart eller tredjepart), og hvor lenge varer den?
  2. Fastslå formålet. Hvorfor finnes denne informasjonskapselen? Hva skjer hvis den fjernes?
  3. Anvend testen for strengt nødvendig. Er denne informasjonskapselen avgjørende for en funksjon brukeren uttrykkelig ba om? Hvis brukeren ba om å logge inn, er en øktkapsel nødvendig. Hvis du vil spore atferden deres, er det ditt behov, ikke deres.
  4. Tildel kategorien. Hvis den ikke er strengt nødvendig, klassifiser den basert på hovedformålet: analyse, markedsføring eller preferanser.
  5. Dokumenter begrunnelsen din. For hver informasjonskapsel bør du registrere hvorfor du kategoriserte den slik du gjorde. Denne dokumentasjonen er verdifull hvis en tilsynsmyndighet noen gang spør.

Vanlige kategoriseringsfeil

Basert på tilsynsmyndighetenes håndhevingssaker og revisjonsfunn er dette de vanligste feilene:

  • Å klassifisere Google Analytics som strengt nødvendig. Dette er den aller vanligste feilen. GA er et analyseverktøy. Det er aldri strengt nødvendig for å levere en tjeneste til brukeren. Flere datatilsyn har spesifikt påpekt dette.
  • Å plassere alle tredjepartskapsler under «funksjonalitet». Innebygde YouTube-videoer, knapper for deling i sosiale medier og chat-widgeter er ikke strengt nødvendige, og kapslene deres tjener vanligvis analyse- eller markedsføringsformål utover den synlige funksjonaliteten.
  • Å overse informasjonskapsler satt av programtillegg og integrasjoner. Et WordPress-nettsted med 20 programtillegg kan sette dusinvis av informasjonskapsler nettstedseieren ikke engang er klar over. Du er fortsatt ansvarlig for alle sammen.
  • Å behandle markedsføringskapsler som analyse. Facebook Pixel og konverteringssporing fra Google Ads er markedsføringskapsler, ikke analyse — hovedformålet er reklame, selv om du bruker dataene analytisk.
  • Å feilkategorisere A/B-testkapsler. Verktøy som Optimizely og VWO setter informasjonskapsler for å tildele brukere til testgrupper. Disse er ikke strengt nødvendige og bør kategoriseres som analyse eller preferanser.

Automatiser prosessen

Manuelle informasjonskapsel-revisjoner er tidkrevende og feilutsatte. Nettsteder endres stadig — et nytt programtillegg, et oppdatert skript, et markedsføringsteam som legger til en sporingspiksel — og hver endring kan innføre nye informasjonskapsler som må kategoriseres.

Passiro skanner og kategoriserer automatisk alle informasjonskapsler på nettstedet ditt, oppdager nye informasjonskapsler når de dukker opp, og flagger mulige feilkategoriseringer. Dette sikrer at samtykkemekanismen din alltid gjenspeiler de faktiske informasjonskapslene nettstedet ditt bruker — ikke bare dem du kjente til da du sist sjekket.

Nå som vi forstår kategoriene, la oss se på hva samtykke til informasjonskapsler faktisk betyr juridisk — kravene er mer spesifikke enn de fleste tror.

Overholder nettstedet ditt informasjonskapselreglene?

Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.

Skann informasjonskapslene dine gratis