Så skriver du en cookiepolicy: steg-för-steg-guide
En cookiepolicy är inte bättre än sin korrekthet och tydlighet. Den här guiden tar dig genom processen att skapa en cookiepolicy som uppfyller lagkraven, hjälper dina användare och håller sig aktuell över tid. Följ dessa nio steg för att ta fram en policy som är heltäckande, transparent och lätt att underhålla.
Steg 1: Kartlägg dina cookies
Innan du kan skriva om dina cookies behöver du veta exakt vilka cookies din webbplats sätter. Det här är grunden för hela din policy – och det steg som de flesta organisationer får fel.
En grundlig cookiekartläggning innebär:
- Skanna varje sida. Cookies kan variera mellan sidor. Din startsida kan sätta andra cookies än din kassasida, din blogg eller dina kontosidor. En fullständig kartläggning måste omfatta alla typer av sidor.
- Fånga upp både förstaparts- och tredjepartscookies. Förstapartscookies sätts av din egen domän. Tredjepartscookies sätts av externa tjänster – analysplattformar, annonsnätverk, widgetar för sociala medier, inbäddade videor, chattwidgetar, betalningsleverantörer med mera.
- Identifiera lagring utöver cookies. Moderna webbplatser använder även localStorage, sessionStorage, IndexedDB och pixeltaggar. En heltäckande policy täcker alla lagringsmekanismer på klientsidan, inte bara HTTP-cookies.
- Testa med och utan samtycke. Vissa cookies sätts oavsett samtycke (strikt nödvändiga cookies). Andra bör bara dyka upp efter att samtycke har lämnats. Din kartläggning bör verifiera att icke-nödvändiga cookies verkligen blockeras tills samtycke ges.
Manuella kartläggningar är opålitliga. Att manuellt öppna webbläsarens utvecklarverktyg på ett fåtal sidor missar cookies som sätts av tredjepartsskript som laddas asynkront, cookies som bara sätts vid specifika användarhandlingar och cookies som bara dyker upp vid senare besök. Använd automatiserade skanningsverktyg för att få hela bilden.
Passiros automatiserade cookieskanner crawlar hela din webbplats, identifierar varje cookie och lagringsmekanism och ger dig en kategoriserad rapport – den perfekta startpunkten för din policy.
Steg 2: Kategorisera varje cookie
När du har en fullständig lista över cookies delar du in dem i standardkategorier. Den mest allmänt vedertagna kategoriseringen, som används av IAB Transparency and Consent Framework och rekommenderas av de flesta dataskyddsmyndigheter, är:
Strikt nödvändiga
Cookies utan vilka webbplatsen inte kan fungera. Exempel: sessionscookies för inloggningsstatus, cookies för varukorg, CSRF-skyddstokens, cookies för lastbalansering, cookies för cookiesamtyckesinställningar. Dessa är undantagna från samtyckeskravet enligt ePrivacy Directive artikel 5(3), men du måste ändå redovisa dem i din policy.
Inställningar / funktionella
Cookies som möjliggör förbättrad funktionalitet och personanpassning. Exempel: språkval, region-/valutaval, inställningar för teckenstorlek, nyligen visade artiklar. Dessa är inte strikt nödvändiga – webbplatsen skulle fungera utan dem – men de förbättrar användarupplevelsen. De kräver samtycke.
Analys / statistik
Cookies som används för att samla in data om hur besökare interagerar med webbplatsen. Exempel: Google Analytics-cookies (_ga, _gid), Hotjar-sessionscookies, Plausible Analytics. Dessa kräver samtycke i de flesta EU-jurisdiktioner, även om vissa dataskyddsmyndigheter (särskilt franska CNIL) har infört begränsade undantag för verktyg för publikmätning som uppfyller strikta villkor.
Marknadsföring / annonsering
Cookies som används för riktad annonsering, retargeting och mätning av annonsprestanda. Exempel: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies från annonsnätverk. Dessa kräver alltid samtycke och är den mest granskade kategorin.
Tilldela varje cookie en kategori och verifiera att kategoriseringen är korrekt. Ett vanligt misstag är att kategorisera analys- eller marknadsföringscookies som ”funktionella” för att undvika samtyckeskravet – detta strider mot reglerna och upptäcks lätt av tillsynsmyndigheter.
Steg 3: Skriv inledningen
Din cookiepolicy bör inledas med en kort introduktion som omfattar:
- Vem du är. Den juridiska enhet som driver webbplatsen (företagsnamn, registrerad adress).
- Vad detta dokument omfattar. ”Denna cookiepolicy förklarar hur [Företagsnamn] använder cookies och liknande tekniker på [webbplatsens URL].”
- När den senast uppdaterades. Ange ett tydligt datum.
- Hur man kontaktar dig. Ange en e-postadress och, i förekommande fall, uppgifter om ditt dataskyddsombud.
Håll inledningen till två eller tre meningar. Användarna är här för att hitta specifik information, inte för att läsa en företagspresentation.
Steg 4: Förklara vad cookies är
Inkludera en kort, icke-teknisk förklaring av vad cookies är. Många av dina besökare vet inte det. En bra förklaring kan vara:
Cookies är små textfiler som lagras på din enhet (dator, surfplatta eller mobil) när du besöker en webbplats. De används i stor utsträckning för att få webbplatser att fungera, förbättra effektiviteten och ge information till webbplatsägare. Cookies som sätts av den webbplats du besöker kallas ”förstapartscookies”. Cookies som sätts av andra företag (till exempel analys- eller annonseringstjänster) kallas ”tredjepartscookies”.
Om din webbplats använder tekniker utöver HTTP-cookies – som localStorage, pixeltaggar eller fingerprinting – nämn även dessa. ”I denna policy använder vi begreppet 'cookies' för att avse cookies och liknande tekniker om inget annat anges.”
Steg 5: Lista cookies i tabellformat
Presentera dina cookies i en strukturerad tabell, ordnad efter kategori. För varje cookie inkluderar du:
| Fält | Beskrivning | Exempel |
|---|---|---|
| Namn | Cookiens tekniska namn | _ga |
| Leverantör | Vem som sätter denna cookie | Google Analytics (google.com) |
| Syfte | Vad cookien gör, i klarspråk | Genererar ett unikt ID för att registrera statistiska uppgifter om hur du använder webbplatsen |
| Typ | Förstaparts eller tredjeparts; HTTP-cookie, localStorage osv. | Tredjeparts HTTP-cookie |
| Varaktighet | Hur länge cookien består | 2 år |
Här är ett exempel på en välstrukturerad cookietabell för analyskategorin:
| Cookie-namn | Leverantör | Syfte | Typ | Varaktighet |
|---|---|---|---|---|
_ga |
Google Analytics | Tilldelar ett unikt ID för att skilja besökare åt och sammanställa statistiska rapporter | Tredjeparts | 2 år |
_gid |
Google Analytics | Tilldelar ett unikt ID för varje surfsession för att sammanställa statistiska rapporter | Tredjeparts | 24 timmar |
_gat_UA-* |
Google Analytics | Begränsar datainsamlingens hastighet på webbplatser med hög trafik | Tredjeparts | 1 minut |
Upprepa denna tabell för varje kategori: strikt nödvändiga, inställningar, analys och marknadsföring.
Steg 6: Beskriv varje kategori
Ge en kort beskrivning av kategorin före varje cookietabell:
- Vad cookies i denna kategori gör – i allmänna ordalag.
- Om samtycke krävs – strikt nödvändiga cookies kräver inte samtycke; alla andra gör det.
- Vad som händer om användaren tackar nej – ”Om du avböjer analyscookies samlar vi inte in data om dina besök. Webbplatsen fungerar som vanligt.”
Denna kontextuella information hjälper användarna att fatta välgrundade beslut och uppfyller GDPR:s transparenskrav.
Steg 7: Förklara hur användare kan kontrollera cookies
Detta avsnitt måste omfatta två kontrollmekanismer:
Via din samtyckesbanner
Förklara att användare när som helst kan hantera sina cookieinställningar genom att klicka på din länk eller ikon för cookieinställningar. Beskriv var den finns (t.ex. ”Klicka på cookieikonen längst ned till vänster på valfri sida” eller ”Klicka på 'Cookieinställningar' i sidfoten”). Var specifik – säg inte bara ”via vår cookiebanner”.
Via webbläsarinställningar
Tillhandahåll länkar till instruktioner för cookiehantering i de större webbläsarna:
Notera konsekvensen: ”Observera att om du inaktiverar cookies via dina webbläsarinställningar kan det påverka funktionaliteten på denna och andra webbplatser du besöker.”
Steg 8: Lägg till kontaktuppgifter och information om dataskyddsombud
Tillhandahåll tydliga kontaktuppgifter för integritetsrelaterade frågor:
- Personuppgiftsansvarigs identitet: företagsnamn, registrerad adress, organisationsnummer.
- E-postadress för integritetsfrågor: en bevakad e-postadress (t.ex. [email protected]).
- Dataskyddsombud: om du har utsett ett dataskyddsombud (obligatoriskt för vissa organisationer enligt GDPR artikel 37), ange dess namn och kontaktuppgifter.
- Tillsynsmyndighet: ange den relevanta dataskyddsmyndigheten och tillhandahåll en länk till dess klagomålsmekanism. Till exempel: ”Du har rätt att lämna in ett klagomål till [namn på dataskyddsmyndighet] på [URL].”
Steg 9: Datera policyn och planera uppdateringar
Inkludera ett tydligt datum för ”Senast uppdaterad”. Förbind dig att granska och uppdatera policyn med jämna mellanrum och närhelst din cookieanvändning förändras.
Överväg att lägga till ett uttalande som: ”Vi granskar denna cookiepolicy regelbundet och uppdaterar den vid behov. Alla väsentliga ändringar kommer att kommuniceras genom ett meddelande på vår webbplats.”
Rent praktiskt bör du planera för minst en kvartalsvis granskning. Tredjepartstjänster ändrar sina cookies ofta, och även en mindre integrationsuppdatering kan införa nya cookies som måste deklareras.
Vanliga misstag att undvika
Även noggrant skrivna cookiepolicyer innehåller ofta dessa fel:
- Vaga syftesbeskrivningar. ”Denna cookie förbättrar din upplevelse” säger användaren ingenting. Var specifik: vilken data samlar cookien in, och vad används den till?
- Föråldrade cookielistor. Om din policy listar cookies från ett verktyg du tog bort för sex månader sedan, eller saknar cookies från ett verktyg du lade till förra veckan, är den inte korrekt. Felaktig redovisning undergräver transparensen.
- Saknade tredjepartscookies. Många organisationer listar sina egna cookies men glömmer att dokumentera tredjepartscookies som sätts av inbäddat innehåll (YouTube-videor, knappar för sociala medier, chattwidgetar osv.). Dessa är ofta de mest integritetskränkande cookiesarna på webbplatsen.
- Kategoriseringsfel. Att klassificera marknadsförings- eller analyscookies som ”funktionella” eller ”nödvändiga” för att undvika samtyckeskravet. Dataskyddsmyndigheter letar specifikt efter detta.
- Ingen mekanism för att ändra inställningar. Att ange att användare kan hantera sina inställningar utan att tillhandahålla en tydligt beskriven, alltid tillgänglig mekanism för att göra det.
- Att kopiera en mall utan anpassning. Generiska cookiepolicy-mallar som inte återspeglar dina faktiska cookies, dina faktiska tjänster eller din faktiska databehandling. En mall är en startpunkt, inte ett färdigt dokument.
- Otillgängligt språk. Juridisk jargong, tekniska termer och onödigt komplexa meningsbyggnader. GDPR kräver ett klart och tydligt språk. Skriv för en icke-specialiserad publik.
Håll din policy synkroniserad med de faktiska cookies
Det svåraste med att underhålla en cookiepolicy är inte att skriva den – det är att hålla den korrekt. Webbplatser är dynamiska. Marknadsteam lägger till nya verktyg, utvecklare integrerar nya tjänster, innehållshanteringssystem installerar plugins med spårningsfunktioner. Varje ändring kan införa cookies som din policy inte nämner.
Lösningen är automatiserad, kontinuerlig övervakning. Istället för att förlita dig på manuella kartläggningar (som är sällsynta, ofullständiga och felbenägna) bör du använda ett skanningsverktyg som regelbundet crawlar din webbplats, identifierar alla aktiva cookies och jämför dem med din deklarerade cookielista.
Passiro skannar din webbplats automatiskt, upptäcker odeklarerade cookies och varnar dig när din policy behöver uppdateras. Detta säkerställer att din cookiepolicy alltid återspeglar verkligheten – inte en ögonblicksbild från senaste gången någon kom ihåg att kontrollera. Läs mer om Passiros automatiserade cookie-efterlevnad.
Följer din webbplats cookiereglerna?
Skanna din webbplats gratis och hitta alla cookies på några minuter.
Skanna dina cookies gratis