Cookie-kategorier: Slik klassifiserer du informasjonskapsler for samtykke
Samtykke til informasjonskapsler er ikke et alt-eller-ingenting-valg. Personvernregelverket krever at brukere kan gjøre detaljerte valg om hvilke typer informasjonskapsler de godtar. For å gjøre dette mulig organiseres informasjonskapsler i kategorier — grupper basert på formålet deres, hver med sine egne samtykkekrav.
Å kategorisere riktig er avgjørende. Å feilklassifisere en markedsføringskapsel som «strengt nødvendig» er ikke bare en teknisk feil — det er et brudd på regelverket som tilsynsmyndighetene aktivt leter etter og bøtelegger.
Hvorfor kategorisering er viktig
GDPR krever at samtykke skal være «spesifikt» (artikkel 4(11)). Artikkel 29-gruppen (nå EDPB) har presisert at dette betyr at samtykke må gis separat for hvert enkelt formål. Å samle alle informasjonskapsler under én enkelt «godta alle» uten å tilby valg per kategori oppfyller ikke denne standarden.
I praksis betyr dette at samtykkemekanismen din må presentere informasjonskapsler gruppert etter formål og la brukere godta eller avvise hver kategori uavhengig av hverandre. Standarden som har vokst frem i bransjen — og som tilsynsmyndighetene forventer — bruker fire kategorier.
De fire standardkategoriene for informasjonskapsler
1. Strengt nødvendige informasjonskapsler
Disse informasjonskapslene er avgjørende for at nettstedet skal fungere på et grunnleggende nivå. Uten dem kan ikke tjenesten brukeren uttrykkelig har bedt om, leveres.
Samtykke kreves: Nei. Strengt nødvendige informasjonskapsler er unntatt fra samtykkekravet etter ePrivacy-direktivet artikkel 5(3), som fastslår at samtykke ikke er nødvendig for informasjonskapsler som er «strengt nødvendige for at leverandøren av en informasjonssamfunnstjeneste uttrykkelig etterspurt av abonnenten eller brukeren skal kunne levere tjenesten».
Eksempler på strengt nødvendige informasjonskapsler:
- Øktkapsler som opprettholder innloggingsstatus
- Handlekurvkapsler på et nettbutikksted
- CSRF-tokener (cross-site request forgery) for beskyttelse
- Lastbalanseringskapsler som fordeler trafikk mellom servere
- Kapsler for samtykkepreferanser (kapselen som husker samtykkevalget ditt)
- Sikkerhetskapsler som oppdager misbruk av autentisering
Hva som IKKE er strengt nødvendig:
- Analysekapsler — selv førsteparts sådanne. Å måle trafikk er nyttig for nettstedseieren, men det er ikke nødvendig for å levere tjenesten brukeren ba om.
- Sosiale medier-programtillegg — delingsknapper og innebygde feeder tjener nettstedseierens interesser, ikke en funksjon brukeren uttrykkelig ba om.
- Reklamekapsler — per definisjon tjener disse et formål utover tjenesten brukeren benytter.
- A/B-testkapsler — disse tjener nettstedseierens optimaliseringsmål, ikke brukerens uttrykkelige forespørsel.
Den avgjørende testen er perspektiv: nødvendig for hvem? Hvis informasjonskapselen tjener nettstedseierens interesser fremfor en funksjon brukeren uttrykkelig ba om, er den ikke strengt nødvendig — uansett hvor viktig den måtte være for virksomheten.
2. Analyse- / statistikkapsler
Disse informasjonskapslene samler inn informasjon om hvordan besøkende bruker nettstedet: hvilke sider som besøkes, hvor lenge brukere blir, hvor de kommer fra og hvor de faller fra. Dataene aggregeres vanligvis og brukes til å forbedre nettstedet.
Samtykke kreves: Ja, i de fleste jurisdiksjoner. Enkelte datatilsyn (særlig franske CNIL og nederlandske AP) har imidlertid antydet at visse førsteparts analyseverktøy kan kvalifisere for et begrenset unntak, forutsatt at bestemte vilkår er oppfylt (se vår seksjon om når samtykke kreves).
Vanlige analysekapsler:
| Kapsel | Tjeneste | Formål | Standard levetid |
|---|---|---|---|
_ga |
Google Analytics | Skiller unike brukere | 2 år |
_ga_* |
Google Analytics 4 | Opprettholder øktstatus | 2 år |
_gid |
Google Analytics | Skiller brukere (24 t) | 24 timer |
_pk_id.* |
Matomo | Besøkende-ID | 13 måneder |
_pk_ses.* |
Matomo | Øktsporing | 30 minutter |
_hjSessionUser_* |
Hotjar | Brukeridentifikator | 1 år |
Merk at informasjonskapsler fra Google Analytics i sin natur er tredjepartskapsler selv om de kan fremstå som førstepartskapsler — fordi Google behandler dataene på sine egne servere og kan bruke dem til egne formål. Dette skillet har vært vesentlig i flere europeiske håndhevingssaker.
3. Markedsførings- / reklamekapsler
Disse informasjonskapslene sporer besøkende på tvers av nettsteder for å bygge en profil av surfeatferden deres. Denne profilen brukes til å levere målrettet reklame, måle effekten av annonsekampanjer og begrense hvor mange ganger en bruker ser en bestemt annonse.
Samtykke kreves: Alltid. Det finnes ingen unntak for reklamekapsler under noen tolkning av ePrivacy-direktivet eller GDPR.
Vanlige markedsføringskapsler:
| Kapsel | Tjeneste | Formål | Standard levetid |
|---|---|---|---|
_fbp |
Meta (Facebook) | Sporer besøk for annonsemålretting | 3 måneder |
_gcl_au |
Google Ads | Konverteringssporing | 3 måneder |
IDE |
Google DoubleClick | Retargeting og annonsevisning | 13 måneder |
_uetsid |
Microsoft Advertising | Konverteringssporing | 1 dag |
li_fat_id |
Indirekte medlemsidentifikator | 30 dager |
Markedsføringskapsler er nesten alltid tredjeparts. De representerer den høyeste personvernrisikoen og er den mest regulerte kategorien. Enhver samtykkemekanisme som gjør det enklere å godta markedsføringskapsler enn å avvise dem, risikerer tilsynsreaksjoner.
4. Preferanse- / funksjonalitetskapsler
Disse informasjonskapslene muliggjør forbedret funksjonalitet og personalisering utover det strengt nødvendige. De husker valg brukeren har gjort, men er ikke nødvendige for at kjernetjenesten skal fungere.
Samtykke kreves: Ja, selv om risikonivået er lavere enn for analyse- eller markedsføringskapsler. Enkelte tilsynsmyndigheter behandler preferansekapsler med større mildhet, men den rettslige posisjonen er at samtykke fortsatt kreves.
Eksempler:
- Språkpreferanse (når nettstedet fungerer uten den, bare med et annet standardspråk)
- Valg av region eller valuta
- Forhåndsutfylling av brukernavn på innloggingsskjemaer
- Innstillinger for videospiller (volum, kvalitet)
- Status for chat-widget (åpen/lukket, samtalehistorikk)
- Skriftstørrelse eller tilgjengelighetspreferanser
Skillet mellom «strengt nødvendig» og «preferanse» kan være subtilt. En språkkapsel på et enspråklig nettsted er meningsløs. En språkkapsel på et flerspråklig nettsted som faller tilbake på et fungerende språk uten den, er en preferanse. En språkkapsel på et nettsted som ikke kan fungere i det hele tatt uten den — fordi innholdet ikke lastes uten et språkvalg — kan argumenteres å være strengt nødvendig. Konteksten er avgjørende.
Slik kategoriserer du informasjonskapslene dine riktig
Følg denne prosessen for hver informasjonskapsel på nettstedet ditt:
- Identifiser informasjonskapselen. Hva heter den, hvem setter den (førstepart eller tredjepart), og hvor lenge varer den?
- Fastslå formålet. Hvorfor finnes denne informasjonskapselen? Hva skjer hvis den fjernes?
- Anvend testen for strengt nødvendig. Er denne informasjonskapselen avgjørende for en funksjon brukeren uttrykkelig ba om? Hvis brukeren ba om å logge inn, er en øktkapsel nødvendig. Hvis du vil spore atferden deres, er det ditt behov, ikke deres.
- Tildel kategorien. Hvis den ikke er strengt nødvendig, klassifiser den basert på hovedformålet: analyse, markedsføring eller preferanser.
- Dokumenter begrunnelsen din. For hver informasjonskapsel bør du registrere hvorfor du kategoriserte den slik du gjorde. Denne dokumentasjonen er verdifull hvis en tilsynsmyndighet noen gang spør.
Vanlige kategoriseringsfeil
Basert på tilsynsmyndighetenes håndhevingssaker og revisjonsfunn er dette de vanligste feilene:
- Å klassifisere Google Analytics som strengt nødvendig. Dette er den aller vanligste feilen. GA er et analyseverktøy. Det er aldri strengt nødvendig for å levere en tjeneste til brukeren. Flere datatilsyn har spesifikt påpekt dette.
- Å plassere alle tredjepartskapsler under «funksjonalitet». Innebygde YouTube-videoer, knapper for deling i sosiale medier og chat-widgeter er ikke strengt nødvendige, og kapslene deres tjener vanligvis analyse- eller markedsføringsformål utover den synlige funksjonaliteten.
- Å overse informasjonskapsler satt av programtillegg og integrasjoner. Et WordPress-nettsted med 20 programtillegg kan sette dusinvis av informasjonskapsler nettstedseieren ikke engang er klar over. Du er fortsatt ansvarlig for alle sammen.
- Å behandle markedsføringskapsler som analyse. Facebook Pixel og konverteringssporing fra Google Ads er markedsføringskapsler, ikke analyse — hovedformålet er reklame, selv om du bruker dataene analytisk.
- Å feilkategorisere A/B-testkapsler. Verktøy som Optimizely og VWO setter informasjonskapsler for å tildele brukere til testgrupper. Disse er ikke strengt nødvendige og bør kategoriseres som analyse eller preferanser.
Automatiser prosessen
Manuelle informasjonskapsel-revisjoner er tidkrevende og feilutsatte. Nettsteder endres stadig — et nytt programtillegg, et oppdatert skript, et markedsføringsteam som legger til en sporingspiksel — og hver endring kan innføre nye informasjonskapsler som må kategoriseres.
Passiro skanner og kategoriserer automatisk alle informasjonskapsler på nettstedet ditt, oppdager nye informasjonskapsler når de dukker opp, og flagger mulige feilkategoriseringer. Dette sikrer at samtykkemekanismen din alltid gjenspeiler de faktiske informasjonskapslene nettstedet ditt bruker — ikke bare dem du kjente til da du sist sjekket.
Nå som vi forstår kategoriene, la oss se på hva samtykke til informasjonskapsler faktisk betyr juridisk — kravene er mer spesifikke enn de fleste tror.
Overholder nettstedet ditt informasjonskapselreglene?
Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.
Skann informasjonskapslene dine gratis