Det er ikke lenger nok med et generelt samtykke til bruk informasjonskapsler, valgene må være spesifiserte, likeverdige og reelle. Det vil si med et innhold som er utformet helt annerledes enn eksempeldialogen.
Stortinget vedtok ny lov om elektronisk kommunikasjon som trådte i kraft 1. januar 2025. Den nye loven sier at bruk av informasjonskapsler (cookies) og lignende teknologier krever et samtykke som er gyldig etter personvernforordningen (GDPR) for å være lovlig. Loven er teknologinøytral og omfatter også nettløsninger, uavhengig formål. Loven gjelder i alle tilfeller der «virksomheten bruker informasjonskapsler eller lignende teknologier på nettsiden eller tjenesten dere tilbyr» og gjør «virksomheten ansvarlig for å etterleve ekomloven § 3-15.» Har du en nettside eller en teknologibasert løsning må du ha oversikt over om den bruker informasjonskapsler og/eller på annen måte samler inn persondata fra brukerne. Lovens § 3-15 sier nemlig:
«Det er ikke tillatt å lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers eller brukers kommunikasjonsutstyr uten at den aktuelle sluttbrukeren eller brukeren er informert om blant annet hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, og uten at den aktuelle sluttbrukeren eller brukeren har gitt samtykke. Samtykke skal oppfylle kravene til samtykke i personvernforordningen.»
Datatilsynets veileder om bruk av informasjonskapsler og andre sporingsteknologier
Selv om din nettside eller teknologibaserte løsning ikke nødvendigvis har til formål å samle inn persondata, kan tredjepartsverktøy gjøre det. Det vanligste er innsamling av persondata for å vise statistikk over bruk og brukere, og eller for å kunne benytte persondataene til kommersielle formål. Eksempler er Google Analythics og eksterne innhold som vises på dine sider, for eksempel YouTube-videoer i en i-frame.
Et vesentlig aspekt ved den nye lover er at vi må endre måten brukerne møter nettstedet vårt på. For det første kan ikke nettstedet sette informasjonskapsler som inneholder persondata, for eksempel IP-adresse, før brukeren har godtatt dem, for det andre skal det være like lett å si nei takk som å godta informasjonskapsler, for det tredje skal det være tilgang til å endre sine valg fra alle sider og for det fjerde skal ikke en avvisning av informasjonskapsler hindre brukeren i tilgangen til sidene.
Unntak fra loven
I følge Datatilsynet finnes det finnes to unntak hvor samtykke ikke er nødvendig:
- Cookies som utelukkende brukes for å overføre kommunikasjon i et elektronisk kommunikasjonsnett.
- Cookies som er strengt nødvendige for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.
Krav til samtykke
For at et samtykke skal være gyldig etter den nye loven, må det være:
- frivillig
- spesifikt
- informert
- utvetydig
- gitt gjennom en aktiv handling
- dokumenterbart
- mulig å trekke tilbake like lett som det ble gitt
Her er det viktig å merke seg begrepet «spesifikt», alle cookies må defineres, og det må kunne gis samtykke til hver enkelt type som innebærer lagring av persondata. Tidligere var det tilstrekkelig at nettleserinnstillinger tillot cookies, men nå kreves et aktivt samtykke fra brukeren
YouTube, et eksempel utfordringer med kode fra tredjepart
Når du implementerer videoer som ligger på YouTube på dine egne nettsteder, blir det satt cookies. Dette gjør YouTube uansett om man ser på videoene eller ikke, og dette er ikke greit for personvernet. Det er ikke mulig å lage noen innstilling på ditt nettsted som hindrer YouTube i å sette cookies. Imidlertid er det mulig å lage en embedlenke som hindrer bruk av cookies. Da vil man miste knappen ”Se senere” og ”Del”, som er avhengig av at YouTube vet hvem du er.
En mal for embedkode som forhindrer YouTube i å sette cookies er beskrevet her: https://cookie-script.com/blog/how-to-add-youtube-videos-without-cookies.
Hva du som nettstedseier må sørge for:
- Få oversikt over nettstedets informasjonskapsler som inneholder persondata, hvorfor de samles inn og hvor lenge de lagres. Er de nødvendige? Er de nødvendige?
- Få oversikt over andre former for innsamling av persondata på nettstedet.
- Få oversikt over hvilke persondata tredjepartsleverandører samler inn via ditt nettsted. Kan dette forhindres?
- Implementer et cookie-varsel som følger de nye reglene.
- Revider nettstedets personvernerklæring.
Forslag til metodikk for å tilpasse et nettsted til ekomloven:
1. Kartlegging av cookies på nettsiden
- Bruk verktøy som Cookiebot, OneTrust, iubenda eller gratisverktøy som Webbkoll for å identifisere:
- Hvilke cookies som benyttes
- Hva slags data de samler inn
- Hvilke aktører som mottar informasjonen
2. Kategorisering av cookies
Del dem inn i:
- Nødvendige (unntatt fra samtykke)
- Statistikk/Analyse (krever samtykke)
- Markedsføring (krever eksplisitt samtykke)
- Preferanser (kan kreve samtykke)
3. Innføring av samtykkeløsning i tråd med regelverket
- Installer en samtykkeplattform (CMP) som støtter GDPR og ekomloven.
- Sørg for at brukeren:
- Mottar tydelig informasjon om bruk av cookies
- Kan velge hvilke kategorier de samtykker til
- Har like lett tilgang til å avslå som å akseptere
- Kan trekke tilbake samtykket når som helst
4. Oppdatering av personvernerklæring og cookiepolicy
- Lag en klar og forståelig policy med informasjon om:
- Hvilke typer cookies som brukes
- Hvilken informasjon som samles inn
- Formål og varighet
- Hvordan brukeren kan endre samtykket sitt
5. Teknisk implementering
- Sørg for at cookies ikke plasseres før samtykke er gitt (gjelder alt utenom nødvendige cookies).
- Verifiser at tredjepartsverktøy som Google Analytics, Meta Pixel osv. respekterer samtykke.
Hvis du er usikker på hvilke informasjonskapsler eller metoder for innsamling av persondata din nettside eller personbaserte løsning benytter, kan Ravn hjelpe deg med å kartlegge dette og lage en et cookie-varsel som dekker ditt behov.