Checklista för cookie-efterlevnad: 25 punkter till full efterlevnad
Cookie-efterlevnad omfattar teknisk implementering, juridisk dokumentation och löpande operativa processer. Om någon enskild komponent saknas kan det leda till bristande efterlevnad, även om allt annat är i sin ordning. Denna strukturerade checklista med 25 punkter täcker varje aspekt av cookie-efterlevnad enligt GDPR, ePrivacy-direktivet och de viktigaste internationella integritetslagarna. Använd den både som implementeringsguide och som verktyg för regelbunden granskning.
Cookie-inventering
Du kan inte hantera det du inte har kartlagt. En fullständig och korrekt cookie-inventering är grunden för alla andra efterlevnadsaktiviteter.
-
Alla cookies identifierade och dokumenterade
Varje cookie som din webbplats sätter måste identifieras, inklusive cookies som sätts av tredjepartsskript, inbäddat innehåll och dynamiskt inlästa resurser. Använd automatiserad skanning för att säkerställa fullständig täckning över alla sidor, inte bara startsidan. Din inventering bör inkludera HTTP-cookies, localStorage-poster, sessionStorage-poster och alla andra lagringsmekanismer på klientsidan som används för spårning.
-
Varje cookie korrekt kategoriserad
Varje cookie måste tilldelas rätt efterlevnadskategori: strikt nödvändig, funktionell, analys/prestanda eller marknadsföring/annonsering. Kategoriseringen måste vara ärlig — en cookie som spårar användare för annonsering kan inte kategoriseras som "funktionell" bara för att den även ger viss funktionell nytta. Vid tveksamhet, tillämpa den striktare kategorin. Dataskyddsmyndigheter granskar kategorisering noggrant, och felaktig kategorisering är en av de vanligaste anmärkningarna i tillsynsärenden.
-
Tredjepartscookies identifierade med leverantörer
För varje tredjepartscookie på din webbplats ska du dokumentera vilken tjänst som sätter den, varför den finns på din webbplats och vilka data den samlar in eller delar. Vanliga källor till tredjepartscookies är analysplattformar (Google Analytics, Adobe Analytics), annonsnätverk (Google Ads, Meta Pixel, LinkedIn Insight Tag), widgets för sociala medier, videoinbäddningar (YouTube, Vimeo), chattverktyg (Intercom, Drift) och plattformar för A/B-testning (Optimizely, VWO). Varje tredjepartsleverantör bör ha ett personuppgiftsbiträdesavtal på plats.
-
Cookies varaktighet dokumenterad
Registrera utgångsperioden för varje cookie. Sessionscookies upphör att gälla när webbläsaren stängs. Permanenta cookies har en definierad livslängd som måste dokumenteras (t.ex. 30 dagar, 1 år, 2 år). Enligt GDPR:s principer om uppgiftsminimering och lagringsminimering bör cookies varaktighet stå i proportion till deras syfte. En analyscookie som består i 10 år vore svår att motivera. CNIL rekommenderar högst 13 månader för analyscookies.
-
Cookies syften dokumenterade i klarspråk
Varje cookies syfte måste beskrivas på ett språk som en genomsnittlig webbplatsbesökare kan förstå. "Denna cookie lagrar en unik identifierare för att spåra din surfaktivitet på vår webbplats för webbanalys" är tydligt. "
_ga: Används av Google Analytics för att särskilja användare" räcker inte för de flesta användare. Syftesbeskrivningen bör besvara frågan: "Vad gör denna cookie, och varför bör jag tillåta den?"
Samtyckesmekanism
Samtyckesmekanismen är där juridiska krav möter teknisk implementering. Att få detta rätt är den mest kritiska — och oftast misslyckade — aspekten av cookie-efterlevnad.
-
Samtycke inhämtat INNAN icke-nödvändiga cookies sätts
Detta är det enskilt viktigaste tekniska kravet. Inga analys-, annons- eller andra icke-nödvändiga cookies får sättas förrän användaren har gett ett aktivt samtycke. Detta innebär att tredjepartsskript måste hindras från att laddas tills samtycke har inhämtats. Att bara radera cookies i efterhand är inte förenligt med reglerna — ePrivacy-direktivet kräver samtycke innan lagring, inte retroaktiv borttagning. Testa detta genom att besöka din webbplats i ett inkognitofönster och kontrollera vilka cookies som sätts innan du interagerar med bannern.
-
Skript blockerade tills samtycke ges
Att blockera cookies räcker inte — själva skripten som sätter dem måste hindras från att köras. Ett skript som laddas och körs men hindras från att skriva en cookie kan fortfarande samla in och överföra data (via pixlar, beacons eller API-anrop). Din samtyckeshantering måste förhindra att själva skriptet laddas tills lämplig samtyckeskategori har accepterats. Vanliga implementeringssätt inkluderar att ändra
type-attributet på skripttaggar (t.ex. fråntext/javascripttilltext/plain) och att dynamiskt injicera skript efter samtycke. -
Acceptera- och Avvisa-knappar lika framträdande
Möjligheten att avvisa icke-nödvändiga cookies måste presenteras med samma framträdande som möjligheten att acceptera dem. Det innebär samma visuella utformning: samma storlek, samma färgvikt, samma nivå i gränssnittet. En stor grön "Acceptera alla"-knapp bredvid en liten grå "Hantera inställningar"-länk utgör inte lika framträdande. CNIL, Garante och flera andra dataskyddsmyndigheter har utfärdat böter specifikt för detta. Båda alternativen bör finnas på första lagret av cookie-bannern utan att kräva ytterligare klick.
-
Granulärt samtycke på kategorinivå tillgängligt
Användare måste kunna samtycka till specifika cookie-kategorier oberoende av varandra. Att acceptera analyscookies bör inte kräva att man även accepterar annonscookies. Erbjud minst separata reglage för: strikt nödvändiga (alltid på, ej reglerbara), funktionella, analys/prestanda samt marknadsföring/annonsering. Om du använder cookies för flera olika syften inom en kategori, överväg att erbjuda ännu mer granulära alternativ.
-
Inga förkryssade rutor
När en användare öppnar de detaljerade cookie-inställningarna måste alla valfria kategorier vara omarkerade som standard. Endast strikt nödvändiga cookies (som inte kräver samtycke) får vara föraktiverade. EU-domstolen bekräftade i Planet49-domen (mål C-673/17) att förkryssade rutor inte utgör giltigt samtycke. Detta gäller oavsett om användaren kan avmarkera dem — standardläget måste vara opt-out, vilket kräver en aktiv handling för att ge samtycke.
-
Återkallande av samtycke lika enkelt som att ge det
Artikel 7.3 i GDPR kräver att det ska vara lika enkelt att återkalla samtycke som att lämna det. Om en användare kan acceptera cookies med ett enda klick på en banner måste de kunna återkalla samtycket med jämförbar enkelhet. Bästa praxis är en beständig, alltid synlig länk eller ikon (t.ex. i sidfoten eller som en flytande knapp) som öppnar cookie-inställningscentret där användaren kan ändra eller återkalla sina val. Att kräva att användaren rensar sina webbläsarcookies, letar sig fram till en dold inställningssida eller kontaktar supporten uppfyller inte denna standard.
-
Samtyckesregister lagrade med tidsstämplar
Du måste kunna påvisa att samtycke har lämnats. Lagra en post för varje samtyckeshandling som inkluderar: tidsstämpel, de samtyckesval som gjordes (vilka kategorier som accepterades/avvisades), vilken version av cookie-bannern och policyn som gällde vid tillfället samt en unik identifierare för samtycket (inte nödvändigtvis kopplad till ett användarkonto för anonyma besökare). Enligt GDPR:s ansvarsskyldighetsprincip ligger bevisbördan för samtycke hos den personuppgiftsansvarige. Om du inte kan visa bevis för att en specifik användare gett samtycke är samtycket i praktiken obevisat.
Cookiepolicy
Din cookiepolicy är både ett juridiskt dokument och ett transparensverktyg. Den måste vara korrekt, fullständig och begriplig.
-
Cookiepolicy finns och är tillgänglig
En särskild cookiepolicy (eller ett tydligt cookieavsnitt i din integritetspolicy) måste finnas och vara lätt att hitta. Bästa praxis är en dedikerad sida som länkas från webbplatsens sidfot, din cookie-banner och din huvudsakliga integritetspolicy. Policyn måste vara tillgänglig utan att acceptera cookies — användare bör kunna läsa den innan de fattar ett samtyckesbeslut.
-
Alla cookies listade med namn, syften, typer och varaktighet
Din cookiepolicy måste innehålla en tabell eller strukturerad lista över varje cookie som din webbplats sätter, inklusive: cookiens namn, vem som sätter den (förstapart eller tredjepartsleverantör), vad den gör (i klarspråk), om det är en sessions- eller permanent cookie samt hur länge den varar. Detta är inte valfritt — det är ett uttryckligt krav enligt GDPR:s transparensbestämmelser (artiklarna 12–14) och ePrivacy-direktivets krav på informerat samtycke.
-
Tredjepartsleverantörer identifierade
Din policy måste namnge de tredjepartstjänster som sätter cookies på din webbplats. "Vi använder analyscookies från tredje part" räcker inte. "Vi använder Google Analytics (från Google LLC), som sätter följande cookies:
_ga,_gid,_gat" gör det. Användare har rätt att veta vem som samlar in data om dem och att fatta informerade beslut om varje leverantör. -
Instruktioner för att hantera cookies inkluderade
Din policy bör förklara hur användare kan hantera sina cookie-inställningar, inklusive: hur man kommer åt ditt cookie-inställningscenter för att ändra samtyckesval, hur man raderar befintliga cookies via webbläsarinställningar samt länkar till integritetspolicyerna för de större tredjepartsleverantörerna av cookies. Även om cookie-hantering på webbläsarnivå är användarens ansvar visar tydliga instruktioner god tro och stöder principen om användarens egenmakt.
-
Policy daterad och regelbundet uppdaterad
Din cookiepolicy måste ange datumet för den senaste uppdateringen. När du lägger till nya cookies, tar bort cookies, byter tredjepartsleverantör eller ändrar cookies syften måste policyn uppdateras för att återspegla förändringen. En odaterad policy, eller en som inte uppdaterats på över ett år, är en varningssignal för dataskyddsmyndigheter. Bästa praxis: integrera dina cookie-skanningsresultat med din policy, så att policyn uppdateras automatiskt när nya cookies upptäcks.
Cookie-banner
Cookie-bannern är det synliga gränssnittet för din samtyckeshantering. Den måste balansera juridisk efterlevnad med användbarhet.
-
Bannern visas vid första besöket innan cookies sätts
Cookie-bannern måste visas första gången en användare besöker din webbplats, innan några icke-nödvändiga cookies sätts. Bannern bör vara omedelbart synlig utan att scrolla, bör inte enkelt kunna avfärdas med oavsiktliga klick och bör kvarstå tills användaren gör ett aktivt val. Bannern får inte hindra användarens möjlighet att navigera bort från sidan eller att komma åt väsentligt innehåll (även om det i vissa jurisdiktioner kan vara tillåtet att begränsa åtkomst till innehåll bakom ett samtyckeskrav, är det säkrare att tillåta navigering medan bannern visas).
-
Bannern är tillgänglig (navigerbar med tangentbord, kompatibel med skärmläsare)
Din cookie-banner måste själv vara tillgänglig. Det innebär att: alla interaktiva element (knappar, reglage, länkar) måste kunna nås och användas med tangentbord; bannern måste annonseras korrekt för skärmläsare med lämpliga ARIA-attribut; fokus måste hanteras korrekt (fokus bör flyttas till bannern när den visas och återgå till sidan när den avfärdas); färgkontrasten måste uppfylla WCAG 2.1 AA-standarderna (4,5:1 för normal text, 3:1 för stor text); och bannern måste vara användbar vid olika zoomnivåer och skärmstorlekar. En otillgänglig cookie-banner är både en juridisk risk (bristande WCAG-efterlevnad) och en anseenderisk för varje organisation som säger sig värna om integritet och inkludering.
-
Bannern länkar till fullständig cookiepolicy
Cookie-bannern måste innehålla en länk till din fullständiga cookiepolicy, så att användare kan läsa detaljerad information om varje cookie innan de fattar sitt samtyckesbeslut. Länken bör vara tydligt synlig och märkt (t.ex. "Läs vår cookiepolicy" eller "Läs mer"). GDPR kräver att samtycke ska vara "informerat", vilket innebär att den information som behövs för att fatta ett informerat beslut måste vara tillgänglig vid samtyckestillfället.
-
Bannern använder inte mörka mönster
Mörka mönster (dark patterns) i cookie-banners undergräver samtyckets giltighet. Undvik: att göra acceptera-knappen visuellt dominerande (större, ljusare, mer framträdande) samtidigt som avvisa-alternativet görs diskret eller dolt; att använda förvirrande formuleringar ("Acceptera rekommenderade inställningar" i stället för tydliga alternativ); att kräva fler klick för att avvisa än för att acceptera; att använda färgkodning som antyder att avvisande är fel (rött för avvisa, grönt för acceptera); att tillämpa skuldbeläggande formuleringar ("Nej, jag bryr mig inte om min upplevelse"); och all annan design som knuffar, manipulerar eller lurar användare mot att acceptera. EDPB:s riktlinjer om mörka mönster (antagna februari 2023) ger detaljerade exempel på förbjudna metoder.
Tekniskt & löpande
Cookie-efterlevnad är inte ett projekt med ett slutdatum. Det är en kontinuerlig operativ process.
-
Google Consent Mode v2 implementerad (om du använder Googles tjänster)
Om du använder någon av Googles tjänster (Analytics, Ads, Tag Manager) krävs Google Consent Mode v2 sedan mars 2024 för att visa annonser inom EES. Consent Mode kommunicerar dina användares cookie-samtyckesval till Googles taggar och justerar deras beteende utifrån samtyckesstatus. Utan Consent Mode kan Googles taggar inte fungera korrekt med din plattform för samtyckeshantering, vilket leder till antingen dataförlust (taggar helt blockerade) eller regelöverträdelser (taggar utlöses utan samtycke). Implementera både samtyckesparametrarna
ad_storageochanalytics_storage, och säkerställ att de är inställda på "denied" som standard tills samtycke ges. -
Regelbunden cookie-skanning schemalagd
Ställ in automatiserade cookie-skanningar enligt ett återkommande schema. Skanna minst en gång i månaden. Helst bör du integrera skanning i din distributionsprocess så att varje release skannas automatiskt. Konfigurera aviseringar för nya eller ändrade cookies så att ditt team snabbt kan utvärdera och kategorisera dem. En skanning som körs men aldrig granskas ger ingen efterlevnadsnytta.
-
Process för granskning av nya tredjepartsskript
Etablera en formell process som måste följas innan något nytt tredjepartsskript, plugin eller tjänst läggs till på din webbplats. Processen bör omfatta: att identifiera vilka cookies skriptet sätter, att kategorisera dessa cookies, att uppdatera samtyckeshanteringens konfiguration för att inkludera dem, att uppdatera cookiepolicyn samt att verifiera att skriptet är korrekt blockerat tills lämpligt samtycke ges. Denna process bör involvera både teknisk granskning (utveckling) och efterlevnadsgranskning (juridik/integritet). Den vanligaste orsaken till brister i cookie-efterlevnaden är att nya skript läggs till på en webbplats utan att genomgå en integritetsgranskning.
-
Personal utbildad i cookie-efterlevnad
Alla som är inblandade i din webbplats — utvecklare, marknadsförare, innehållsskapare och chefer — bör förstå grunderna i cookie-efterlevnad och sin roll i att upprätthålla den. Utvecklare behöver veta hur man lägger till skript på ett samtyckesmedvetet sätt. Marknadsförare behöver förstå att det krävs en efterlevnadsgranskning för att lägga till en ny spårningspixel. Innehållsskapare behöver veta att inbäddning av en YouTube-video introducerar tredjepartscookies. Utbildningen behöver inte vara omfattande, men den måste täcka den centrala principen: ingen ny spårning utan granskning. En enda outbildad teammedlem som lägger till ett marknadsföringsskript utan att gå igenom granskningsprocessen kan omintetgöra flera månaders efterlevnadsarbete.
Att använda denna checklista
Denna checklista är utformad för att användas på tre sätt:
- Inledande implementering: Arbeta igenom alla 25 punkter i ordning när du sätter upp cookie-efterlevnad för första gången. Hoppa inte över punkter och skjut inte upp dem — delvis efterlevnad är fortfarande bristande efterlevnad.
- Regelbunden granskning: Gå igenom checklistan kvartalsvis för att verifiera att alla punkter fortfarande är uppfyllda. Var särskilt uppmärksam på de löpande punkterna (punkt 22–25), eftersom det är dessa som är mest benägna att glida över tid.
- Efter förändringar: När din webbplats genomgår en betydande förändring (nya funktioner, nya tredjepartstjänster, omdesign, CMS-migrering) bör du gå igenom relevanta avsnitt av checklistan för att verifiera att efterlevnaden upprätthålls.
Cookie-efterlevnad är möjligt att uppnå. Det kräver uppmärksamhet och process, men inget av de enskilda kraven är orimligt svårt. De organisationer som får det kämpigt är vanligtvis de som behandlar efterlevnad som ett engångsprojekt snarare än en löpande operativ angelägenhet. Bygg in det i ditt arbetsflöde, tilldela tydligt ägarskap och använd denna checklista som ditt återkommande verifieringsverktyg.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis