Slik skriver du en cookie-erklæring: En trinnvis veiledning
En cookie-erklæring er bare så god som den er nøyaktig og tydelig. Denne veiledningen tar deg gjennom prosessen med å lage en cookie-erklæring som oppfyller lovkravene, tjener brukerne dine og forblir korrekt over tid. Følg disse ni trinnene for å lage en erklæring som er dekkende, transparent og enkel å vedlikeholde.
Trinn 1: Kartlegg cookiene dine
Før du kan skrive om cookiene dine, må du vite nøyaktig hvilke cookies nettstedet ditt setter. Dette er grunnlaget for hele erklæringen din – og trinnet de fleste organisasjoner får feil.
En grundig cookie-kartlegging innebærer:
- Skanning av hver side. Cookies kan variere mellom sider. Forsiden din kan sette andre cookies enn kassesiden, bloggen eller kontosidene dine. En fullstendig kartlegging må dekke alle sidetyper.
- Registrering av førsteparts- og tredjepartscookies. Førstepartscookies settes av ditt eget domene. Tredjepartscookies settes av eksterne tjenester – analyseplattformer, annonsenettverk, sosiale medier-widgeter, innebygde videoer, chat-widgeter, betalingsleverandører og mer.
- Identifisering av ikke-cookie-lagring. Moderne nettsteder bruker også localStorage, sessionStorage, IndexedDB og sporingspiksler. En dekkende erklæring omfatter alle lagringsmekanismer på klientsiden, ikke bare HTTP-cookies.
- Testing med og uten samtykke. Noen cookies settes uavhengig av samtykke (strengt nødvendige cookies). Andre skal bare dukke opp etter at samtykke er gitt. Kartleggingen din bør bekrefte at ikke-nødvendige cookies faktisk blokkeres inntil samtykke gis.
Manuelle kartlegginger er upålitelige. Å manuelt åpne nettleserens utviklerverktøy på et fåtall sider vil overse cookies satt av tredjepartsskript som lastes asynkront, cookies som bare settes ved bestemte brukerhandlinger, og cookies som først dukker opp ved senere besøk. Bruk automatiske skanneverktøy for å få det fullstendige bildet.
Passiros automatiske cookie-skanner gjennomsøker hele nettstedet ditt, identifiserer hver cookie og lagringsmekanisme, og gir en kategorisert rapport – det ideelle utgangspunktet for erklæringen din.
Trinn 2: Kategoriser hver cookie
Når du har en fullstendig liste over cookies, organiser dem i standardkategorier. Den mest utbredte kategoriseringen, brukt av IAB Transparency and Consent Framework og anbefalt av de fleste datatilsynsmyndigheter, er:
Strengt nødvendige
Cookies uten hvilke nettstedet ikke kan fungere. Eksempler: øktcookies for påloggingsstatus, handlekurvcookies, CSRF-beskyttelsestokens, lastbalanseringscookies, cookies for lagring av samtykkepreferanser. Disse er unntatt kravet om samtykke i henhold til ePrivacy-direktivet artikkel 5(3), men du må likevel opplyse om dem i erklæringen din.
Preferanser / Funksjonelle
Cookies som muliggjør forbedret funksjonalitet og personalisering. Eksempler: språkvalg, region-/valutapreferanse, innstillinger for skriftstørrelse, nylig viste produkter. Disse er ikke strengt nødvendige – nettstedet ville fungert uten dem – men de forbedrer brukeropplevelsen. De krever samtykke.
Analyse / Statistikk
Cookies som brukes til å samle inn data om hvordan besøkende samhandler med nettstedet. Eksempler: Google Analytics-cookies (_ga, _gid), Hotjar øktcookies, Plausible Analytics. Disse krever samtykke i de fleste EU-jurisdiksjoner, selv om enkelte datatilsyn (særlig franske CNIL) har innført begrensede unntak for verktøy for publikumsmåling som oppfyller strenge vilkår.
Markedsføring / Annonsering
Cookies som brukes til målrettet annonsering, retargeting og måling av annonseytelse. Eksempler: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies fra annonsenettverk. Disse krever alltid samtykke og er den kategorien som er under mest oppsyn.
Tildel hver cookie en kategori og verifiser at kategoriseringen er korrekt. En vanlig feil er å kategorisere analyse- eller markedsføringscookies som «funksjonelle» for å unngå samtykkekravet – dette er ikke i samsvar med regelverket og lett å avdekke for tilsynsmyndigheter.
Trinn 3: Skriv innledningen
Cookie-erklæringen din bør åpne med en kort innledning som dekker:
- Hvem du er. Den juridiske enheten som driver nettstedet (firmanavn, registrert adresse).
- Hva dette dokumentet dekker. «Denne cookie-erklæringen forklarer hvordan [Firmanavn] bruker cookies og lignende teknologier på [nettstedets URL].»
- Når den sist ble oppdatert. Inkluder en tydelig dato.
- Hvordan du kan kontaktes. Oppgi en kontakt-e-post og, om aktuelt, opplysninger om personvernombudet ditt.
Hold innledningen til to eller tre setninger. Brukere er her for spesifikk informasjon, ikke et selskapsforord.
Trinn 4: Forklar hva cookies er
Ta med en kort, ikke-teknisk forklaring på hva cookies er. Mange av de besøkende vet det ikke. En god forklaring er:
Cookies er små tekstfiler som lagres på enheten din (datamaskin, nettbrett eller telefon) når du besøker et nettsted. De brukes i stor utstrekning for å få nettsteder til å fungere, forbedre effektiviteten og gi informasjon til nettstedeiere. Cookies som settes av nettstedet du besøker, kalles «førstepartscookies». Cookies som settes av andre selskaper (for eksempel analyse- eller annonseringstjenester), kalles «tredjepartscookies».
Hvis nettstedet ditt bruker teknologier utover HTTP-cookies – som localStorage, sporingspiksler eller fingeravtrykk – nevn også disse. «I denne erklæringen bruker vi begrepet «cookies» for å referere til cookies og lignende teknologier med mindre annet er angitt.»
Trinn 5: List opp cookies i tabellformat
Presenter cookiene dine i en strukturert tabell, organisert etter kategori. For hver cookie, inkluder:
| Felt | Beskrivelse | Eksempel |
|---|---|---|
| Navn | Cookiens tekniske navn | _ga |
| Leverandør | Hvem som setter denne cookien | Google Analytics (google.com) |
| Formål | Hva cookien gjør, i klart språk | Genererer en unik ID for å registrere statistiske data om hvordan du bruker nettstedet |
| Type | Førsteparts eller tredjeparts; HTTP-cookie, localStorage osv. | Tredjeparts HTTP-cookie |
| Varighet | Hvor lenge cookien varer | 2 år |
Her er et eksempel på en godt strukturert cookie-tabell for analysekategorien:
| Cookie-navn | Leverandør | Formål | Type | Varighet |
|---|---|---|---|---|
_ga |
Google Analytics | Tildeler en unik ID for å skille besøkende og utarbeide statistiske rapporter | Tredjeparts | 2 år |
_gid |
Google Analytics | Tildeler en unik ID for hver nettleserøkt for å utarbeide statistiske rapporter | Tredjeparts | 24 timer |
_gat_UA-* |
Google Analytics | Begrenser hastigheten på datainnsamling på nettsteder med mye trafikk | Tredjeparts | 1 minutt |
Gjenta denne tabellen for hver kategori: Strengt nødvendige, Preferanser, Analyse og Markedsføring.
Trinn 6: Beskriv hver kategori
Før hver cookie-tabell, gi en kort beskrivelse av kategorien:
- Hva cookies i denne kategorien gjør – i generelle termer.
- Om samtykke kreves – strengt nødvendige cookies krever ikke samtykke; alle andre gjør det.
- Hva som skjer hvis brukeren avslår – «Hvis du avslår analysecookies, samler vi ikke inn data om besøkene dine. Nettstedet vil fungere som normalt.»
Denne kontekstuelle informasjonen hjelper brukerne med å ta informerte beslutninger og oppfyller GDPRs krav til transparens.
Trinn 7: Forklar hvordan brukere kan kontrollere cookies
Denne delen må dekke to kontrollmekanismer:
Gjennom samtykkebanneret ditt
Forklar at brukere når som helst kan administrere cookie-preferansene sine ved å klikke på lenken eller ikonet for cookie-innstillinger. Beskriv hvor de finner det (f.eks. «Klikk på cookie-ikonet nederst til venstre på enhver side» eller «Klikk på «Cookie-innstillinger» i bunnteksten»). Vær spesifikk – ikke bare si «gjennom cookie-banneret vårt».
Gjennom nettleserinnstillinger
Oppgi lenker til instruksjoner for administrasjon av cookies i de store nettleserne:
Merk konsekvensen: «Vær oppmerksom på at deaktivering av cookies gjennom nettleserinnstillingene kan påvirke funksjonaliteten på dette og andre nettsteder du besøker.»
Trinn 8: Legg til kontaktinformasjon og opplysninger om personvernombud
Oppgi tydelig kontaktinformasjon for personvernrelaterte henvendelser:
- Behandlingsansvarliges identitet: Firmanavn, registrert adresse, organisasjonsnummer.
- E-postadresse for personvern: En overvåket e-postadresse (f.eks. [email protected]).
- Personvernombud: Hvis du har utnevnt et personvernombud (obligatorisk for enkelte organisasjoner etter GDPR artikkel 37), oppgi navn og kontaktopplysninger.
- Tilsynsmyndighet: Identifiser den relevante datatilsynsmyndigheten og oppgi en lenke til klageordningen deres. For eksempel: «Du har rett til å klage til [Tilsynsmyndighetens navn] på [URL].»
Trinn 9: Dater erklæringen og planlegg oppdateringer
Inkluder en tydelig «Sist oppdatert»-dato. Forplikt deg til å gjennomgå og oppdatere erklæringen med jevne mellomrom og hver gang cookie-bruken din endres.
Vurder å legge til en formulering som: «Vi gjennomgår denne cookie-erklæringen jevnlig og oppdaterer den ved behov. Eventuelle vesentlige endringer vil bli kommunisert gjennom en melding på nettstedet vårt.»
Rent praktisk bør du planlegge minst en kvartalsvis gjennomgang. Tredjepartstjenester endrer cookiene sine ofte, og selv en mindre integrasjonsoppdatering kan introdusere nye cookies som må deklareres.
Vanlige feil å unngå
Selv nøye skrevne cookie-erklæringer inneholder ofte disse feilene:
- Vage formålsbeskrivelser. «Denne cookien forbedrer opplevelsen din» forteller brukeren ingenting. Vær spesifikk: hvilke data samler cookien inn, og hva brukes de til?
- Utdaterte cookie-lister. Hvis erklæringen din lister opp cookies fra et verktøy du fjernet for seks måneder siden, eller unnlater å liste opp cookies fra et verktøy du la til forrige uke, er den unøyaktig. Unøyaktig opplysning undergraver transparensen.
- Manglende tredjepartscookies. Mange organisasjoner lister opp sine egne cookies, men glemmer å dokumentere tredjepartscookies satt av innebygd innhold (YouTube-videoer, sosiale medier-knapper, chat-widgeter osv.). Disse er ofte de mest personverninngripende cookiene på nettstedet.
- Kategoriseringsfeil. Å klassifisere markedsførings- eller analysecookies som «funksjonelle» eller «nødvendige» for å unngå samtykkekravet. Datatilsynsmyndigheter ser spesifikt etter dette.
- Ingen mekanisme for å endre preferanser. Å angi at brukere kan administrere preferansene sine, men uten å tilby en tydelig beskrevet, alltid tilgjengelig mekanisme for å gjøre det.
- Å kopiere en mal uten tilpasning. Generiske cookie-erklæringsmaler som ikke gjenspeiler dine faktiske cookies, dine faktiske tjenester eller din faktiske databehandling. En mal er et utgangspunkt, ikke et ferdig dokument.
- Utilgjengelig språk. Juridisk sjargong, teknisk terminologi og unødvendig komplekse setningsstrukturer. GDPR krever klart og enkelt språk. Skriv for et ikke-fagkyndig publikum.
Hold erklæringen din i tråd med de faktiske cookiene
Den vanskeligste delen av å vedlikeholde en cookie-erklæring er ikke å skrive den – det er å holde den nøyaktig. Nettsteder er dynamiske. Markedsføringsteam legger til nye verktøy, utviklere integrerer nye tjenester, innholdssystemer installerer utvidelser med sporingsfunksjoner. Hver endring kan introdusere cookies som erklæringen din ikke nevner.
Løsningen er automatisert, kontinuerlig overvåking. I stedet for å stole på manuelle kartlegginger (som er sjeldne, ufullstendige og feilutsatte), bruk et skanneverktøy som jevnlig gjennomsøker nettstedet ditt, identifiserer alle aktive cookies og sammenligner dem med din deklarerte cookie-liste.
Passiro skanner nettstedet ditt automatisk, oppdager udeklarerte cookies og varsler deg når erklæringen din trenger oppdatering. Dette sikrer at cookie-erklæringen din alltid gjenspeiler virkeligheten – ikke et øyeblikksbilde fra sist noen husket å sjekke. Lær mer om Passiros automatiske cookie-etterlevelse.
Overholder nettstedet ditt informasjonskapselreglene?
Skann nettstedet ditt gratis og finn alle informasjonskapsler på noen få minutter.
Skann informasjonskapslene dine gratis