Informasjonskapsler og samtykke (norske regler)
En praktisk gjennomgang av norske regler for informasjonskapsler: hva som krever samtykke, hva som er unntatt, og hva et samtykkebanner bør inneholde.
Har du lagt merke til at nesten alle nettsteder du besøker i dag ber om samtykke til informasjonskapsler? Det er ikke tilfeldig. Det er juridiske krav bak cookie-bannerne – og de gjelder også for deg som driver et lite norsk nettsted.
Her er en praktisk gjennomgang av hva reglene sier, hva som faktisk krever samtykke, og hva du bør ha på plass.
Merk: dette er ikke juridisk rådgivning. For konkret veiledning tilpasset din virksomhet, se Datatilsynets ressurser om informasjonskapsler og eventuelt kontakt en jurist.
Hva er informasjonskapsler?
Informasjonskapsler (cookies) er små tekstfiler som lagres i nettleseren din når du besøker et nettsted. De brukes til mange formål: å huske at du er innlogget, lagre handlekurven din, analysere trafikk, eller spore deg for annonseformål.
Det er ikke cookies i seg selv som er problematisk – det er hva de brukes til, og om brukeren er informert og har gitt samtykke.
Hva sier regelverket i Norge?
I Norge reguleres informasjonskapsler primært av ekomloven § 2-7b, som implementerer EUs direktiv om elektronisk kommunikasjon. I tillegg gjelder GDPR for personopplysninger som samles inn via cookies.
Hovedregelen er klar: du kan ikke sette ikke-nødvendige informasjonskapsler i nettleseren til en besøkende uten at vedkommende aktivt har samtykket til det på forhånd.
For oppdatert og autoritativ veiledning, se Datatilsynets veileder for informasjonskapsler .
Nødvendige vs. ikke-nødvendige cookies
Den viktigste distinksjonen er mellom cookies som er strengt nødvendige for at nettsiden skal fungere, og cookies som brukes til andre formål.
Nødvendige cookies (samtykke ikke påkrevet)
Disse er nødvendige for at nettsiden skal fungere som forventet:
- Innlogging/økt-håndtering – husker at du er innlogget
- Handlekurv – lagrer varene du har lagt til
- Samtykkebanner-valg – husker at du har tatt et valg om cookies
- Sikkerhetstokens – beskytter mot CSRF-angrep
Disse kan settes uten forhåndssamtykke, men du bør fortsatt informere om dem i personvernerklæringen.
Ikke-nødvendige cookies (samtykke påkrevet)
Disse krever aktivt forhåndssamtykke:
- Analyse og statistikk – f.eks. Google Analytics, Matomo (i de fleste konfigurasjoner)
- Markedsføring og annonsering – f.eks. Google Ads, Meta Pixel, TikTok Pixel
- Personalisering – f.eks. tilpasning basert på tidligere atferd
- Sosiale medier-widgets – innebygde «liker»-knapper fra Facebook/Instagram som sporer brukere
Selv om Google Analytics er et populært og nyttig verktøy, krever det som regel aktivt samtykke i Norge og EU. Alternativet er å bruke det i en konfigurasjon uten personidentifiserbare data eller IP-adresser – men dette bør vurderes nøye.
Hva er et gyldig samtykke?
Et samtykke til informasjonskapsler er bare gyldig dersom det er:
- Frivillig – det skal ikke koste brukeren noe å si nei (f.eks. miste tilgang til innhold)
- Spesifikt – brukeren skal kunne samtykke til ulike kategorier separat (analyse, markedsføring osv.)
- Informert – brukeren skal vite hva de samtykker til, i klartekst
- Aktivt – brukeren skal aktivt trykke på «Godta», ikke bare bla forbi et banner
Det er altså ikke gyldig samtykke:
- Pre-avkryssede bokser
- Et banner som sier «ved å fortsette godtar du» uten aktiv handling
- Å skjule avvisningsknappen eller gjøre den vanskeligere å finne enn godtaksknappen
Hva bør et samtykkebanner inneholde?
Et godt og lovlig samtykkebanner bør:
- Informere om at nettsiden bruker informasjonskapsler
- Forklare hvilke kategorier (analyse, markedsføring osv.)
- Gi mulighet til å godta alle, avvise alle, eller tilpasse valget
- Ha en like tydelig «avvis»-knapp som «godta»-knappen
- Lenke til personvernerklæringen og cookie-politikken
Det finnes ferdiglagde løsninger for samtykkebannere – både gratis og betalte. Eksempler er Cookiebot, Osano, og CookieYes. Mange av disse håndterer også lagring av samtykkelogg, som kan være nyttig om du noen gang trenger å dokumentere at samtykke ble gitt.
Konsekvenser av manglende etterfølgelse
Datatilsynet er den norske tilsynsmyndigheten og kan ilegge sanksjoner ved brudd på reglene. For de fleste småbedrifter er det imidlertid ikke bøter som er den primære motivasjonen – det er tilliten til besøkende og kunder. Et ryddig samtykkeregime signaliserer at du tar personvern på alvor.
Hva med et nettsted uten cookies?
Bruker nettsiden din ingen tredjepartsverktøy som Google Analytics, ingen reklame og ingen innebygde sosiale medier-elementer, kan det hende at du faktisk ikke trenger et samtykkebanner i det hele tatt. En enkel informasjonsside med kun nødvendige cookies (økt-håndtering osv.) faller utenfor samtykkekravet.
Sjekk med en cookie-skanner-tjeneste hva nettsiden din faktisk setter, og ta stilling ut fra det.
Les mer om personvern og nettsted
Informasjonskapsler er tett koblet til de mer overordnede personvern-pliktene GDPR stiller. Les vår artikkel om GDPR for små nettsteder i Norge for en bredere gjennomgang av hva som gjelder.
Skal du komme i gang med nettsted fra scratch? Se vår komplette sjekkliste for å komme på nett – cookies og personvern er ett av punktene du bør ha i orden fra starten.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.