Nye regler for cookies og samtykke – hva betyr det for deg og din virksomhet?
Med nye lovendringer som trådte i kraft 1. januar 2025, stilles det nå strengere krav til hvordan informasjonskapsler kan brukes på norske nettsider.
I denne artikkelen gir vi deg en oversikt over de nye reglene, og gir praktiske tips for hvordan du kan sikre at nettsiden til din virksomhet overholder regelverket.
Artikkelen er skrevet av Mari Nicoline Quax, Seniorutvikler i Crayon Consulting.
12.03.2025
Lesetid: 8 min
AI-generert bilde fra Bing
Hva er de nye kravene?
Med innføringen av den oppdaterte ekomloven (lov om elektronisk kommunikasjon) fra og med januar 2025, må alle nettsider som benytter informasjonskapsler innhente samtykke fra brukeren, hvor samtykket må oppfylle kravene i GDPR (EUs personvernforordning). Dette gjelder både privat og offentlig sektor, og alle nettsider må sørge for å gjøre nødvendige endringer for å overholde kravene i loven.
Kravene gjelder all lagring av, eller tilgang til, brukeropplysninger – ikke bare informasjonskapsler. Dette betyr at bestemmelsen gjelder uavhengig av hvilken teknologi som benyttes for å lagre eller hente informasjon, og uavhengig av om tjenesten brukes på eksempelvis mobiltelefon, nettbrett eller datamaskin. Kort sagt omfatter reglene enhver teknologi som kan brukes til samme formål som informasjonskapsler.
Lov om elektronisk kommunikasjon § 3-15
§ 3-15. Bruk av informasjonskapsler mv.
Det er ikke tillatt å lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers eller brukers kommunikasjonsutstyr uten at den aktuelle sluttbrukeren eller brukeren er informert om blant annet hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, og uten at den aktuelle sluttbrukeren eller brukeren har gitt samtykke. Samtykke skal oppfylle kravene til samtykke i personvernforordningen.
Første ledd gjelder ikke for teknisk lagring av eller adgang til opplysninger
- utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller
- som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.
Departementet kan gi forskrift om plikten etter første ledd, herunder om bruken av informasjonskapsler. Departementet kan gi forskrift om unntak etter andre ledd.
Tilsynsmyndighet for de nye reglene deles mellom Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom), som begge har ansvar for å sikre at regelverket etterleves. Datatilsynet og Nkom har signalisert at deres fokus i første omgang vil være veiledning, men at tilsyn kan komme dersom reglene ikke følges. Manglende etterlevelse kan føre til sanksjoner.
Hvem gjelder de for?
Kravene gjelder både privat og offentlig sektor, og omfatter alle nettsider og apper – uavhengig av størrelse – som bruker informasjonskapsler eller annen teknologi for å lagre eller hente brukerinformasjon. Dette inkluderer alt fra offentlige tjenester og store aktører innen netthandel, til mindre bedrifter og blogger. Regelverket gjelder også for virksomheter som opererer fra utlandet, så lenge deres løsning retter seg mot norske brukere.
De viktigste kravene til et gyldig samtykke
For at et samtykke skal være gyldig etter de nye reglene, må det tilfredsstille strenge krav for å sikre brukerens rettigheter. Dette innebærer blant annet:
- Reelt valg uten press:
Brukeren skal ha et reelt valg, og kunne velge fritt uten press eller negative konsekvenser. Dette betyr at et samtykke ikke skal være et vilkår for å bruke en tjeneste.
- Spesifikt og informert:
For å forstå hva som godtas – og dermed kunne gi et informert samtykke – må brukeren få tydelig og lett forståelig informasjon om formålet med samtykket, og hva samtykket innebærer. Ved flere formål må samtykket være tydelig og spesifikt for hvert av formålene, og brukeren må kunne gi eller avslå samtykke separat for hvert enkelt.
- Aktiv handling:
Samtykke må gis gjennom en aktiv handling, for eksempel ved å klikke på en knapp. Det skal være like enkelt å takke nei som å takke ja, og fravær av handling kan ikke tolkes som samtykke.
- Dokumenterbart:
Virksomheten må kunne dokumentere at gyldig samtykke er innhentet.
- Enkelt å trekke tilbake:
Det skal være like enkelt å trekke tilbake samtykket som å gi det. Tilbaketrekning er ikke nødt ikke å skje på samme måte som samtykket ble gitt, men bør kunne gjøres i samme system eller grensesnitt. Ved tilbaketrekning skal alle opplysninger normalt slettes, med mindre det finnes andre formål med egne samtykker som brukeren ikke har trukket tilbake samtykke til.
Unntak fra kravene
Noen spesifikke typer informasjonskapsler er unntatt fra kravet om samtykke, jf. § 3-15 i den oppdaterte ekomloven. Dette gjelder dersom dataene utelukkende brukes til å muliggjøre kommunikasjon i et elektronisk kommunikasjonsnett, eller dersom de er strengt nødvendige for å levere en informasjonssamfunnstjeneste etter den aktuelle brukerens uttrykkelige forespørsel. Informasjonskapsler som brukes til analyse eller markedsføring omfattes ikke av unntakene, og krever alltid samtykke.
Hva kan du gjøre for å møte kravene?
For å tilpasse nettsiden til virksomheten din i tråd med de nye reglene, er det viktig å gå systematisk til verks. Dette innebærer å forstå hvilke krav som gjelder for din nettside, kartlegge dagens praksis, og implementere løsninger som både oppfyller lovens krav og ivaretar en god brukeropplevelse. Forslagene nedenfor beskriver tiltak du kan gjøre for å sikre at nettsiden din overholder reglene.
Kartlegg bruken av informasjonskapsler
Identifiser hvilke informasjonskapsler som brukes på nettsiden, hvilke formål de ulike har, og hva som setter dem (eget nettsted eller tredjepart). Dette vil gi et godt grunnlag for å vurdere hvilke justeringer som kan være nødvendige for å oppfylle kravene.
Velg en brukervennlig samtykkeløsning
- Likeverdige samtykkealternativer
Sørg for at brukeren kan akseptere eller avslå samtykke til informasjonskapsler på en enkel måte, hvor begge alternativene er likeverdige. Dette betyr i praksis at den klassiske «Godta alle»-knappen ikke er tilstrekkelig dersom den er eneste alternativ – brukeren må også få et like synlig og tilgjengelig alternativ for å avslå informasjonskapsler, uten at dette krever flere klikk. - Mulighet for å endre eller trekke tilbake samtykke
Brukeren må kunne endre eller trekke tilbake samtykket like enkelt som det ble gitt. Dette kan for eksempel gjøres med en knapp som er synlig på nettsiden til enhver tid, som gir tilgang til administrasjon av samtykker. - Dynamisk lasting av informasjonskapsler
Informasjonskapsler som ikke er strengt nødvendige skal ikke aktiveres før brukeren har gitt samtykke. Velg en løsning som kan håndtere lasting av informasjonskapsler dynamisk, slik at informasjonskapsler som krever samtykke kun aktiveres først etter at dette er gitt. - Ivareta brukeropplevelsen på nettsiden
Sørg for at løsningen er utformet på en måte som ikke forstyrrer brukeropplevelsen unødvendig, spesielt på mindre skjermer. For eksempel kan et samtykkebanner som tar opp store deler av skjermen – og som dermed gjør det vanskelig å bruke tjenesten uten å samtykke – gjøre innhentede samtykker ugyldige.
Utform retningslinjer og gi tydelig informasjon
Informer brukeren om hva de samtykker til på en forståelig måte. Dette inkluderer detaljer om hvilke data som samles inn, hvorfor det gjøres, og hvordan brukeren kan administrere eller trekke tilbake samtykket sitt. Forklar også hvordan ulike valg kan påvirke funksjoner på nettsiden, for eksempel ved å beskrive hvilke tjenester som krever nødvendige eller funksjonelle informasjonskapsler. Unngå komplisert språk, og presenter informasjonen på en lettfattelig måte.
Sørg også for å lage tydelige retningslinjer for informasjonskapsler (cookie policy), som forklarer hvilke informasjonskapsler nettsiden bruker, hvorfor de brukes, og hvordan brukerne kan administrere dem. Gjør denne informasjonen lett tilgjengelig, for eksempel via en lenke i footeren på nettsiden.
Dokumenter samtykker
For å oppfylle kravene må samtykkeprosessen dokumenteres – et samtykke er kun gyldig dersom det kan dokumenteres at det oppfyller lovens krav, herunder inkludert at samtykket var informert. Begrens dokumentasjonen til det som er nødvendig iht. kravene, for eksempel ved bruk av teknisk informasjon fra økten. Det er ikke tillatt å kreve at brukere må registrere seg for å kunne dokumentere samtykker.
Hold løsningen oppdatert
Vurder samtykkeløsningen jevnlig for å sikre at den er i samsvar med gjeldende lovverk, og oppdater ved behov.
Konklusjon
Selv om de nye kravene til informasjonskapsler og tilhørende samtykke kan virke utfordrende, er dette også en mulighet for å vite at du tar personvern på alvor. En tydelig og brukervennlig samtykkeløsning kan bidra til å skape tillit hos brukerne, samtidig som du overholder regelverket.
Dette innebærer at valgene for å henholdsvis gi eller avslå samtykke er like tilgjengelige og synlige, og at det gis tydelig informasjon om hva hvert av valgene innebærer, slik at brukeren kan ta et informert valg. Løsningen bør også gi brukeren mulighet til å enkelt kunne administrere sine samtykker, og gi tydelig informasjon om formålene for de ulike informasjonskapslene – formulert på en lettfattelig måte.
Ved å følge disse prinsippene kan du både ivareta brukernes interesser, og styrke din egen troverdighet.
Mari Nicoline Quax
Mari er frontend-utvikler og har nesten 8 års erfaring med nettsider, netthandel og store komplekse digitale portaler. Med 6 år som konsulent i Crayon Consulting har Mari jobbet med store kunder som Finanstilsynet, Norsk Tipping, Visit Oslo og Destinasjon Trysil.
