Gjelder ekomloven § 2-7b fortsatt?

Nei. § 2-7b var en del av den gamle ekomloven fra 2003 og ble opphevet da den nye ekomloven trådte i kraft 1. januar 2025. Cookie-regelen ligger nå i § 3-15. Cookie-erklæringer som fortsatt viser til § 2-7b, peker til en paragraf som ikke lenger finnes.

Hva er forskjellen på § 2-7b og § 3-15?

§ 2-7b åpnet for at samtykke kunne anses gitt gjennom nettleserinnstillinger. Et passivt cookie-banner var derfor ofte nok. § 3-15 krever at samtykket oppfyller kravene i GDPR: frivillig, spesifikt, informert og utvetydig, gitt gjennom en aktiv handling.

Hvilke cookies krever ikke samtykke?

Cookies som er strengt nødvendige for å overføre kommunikasjon i nettet, eller for å levere en tjeneste brukeren uttrykkelig har bedt om. I praksis innloggingsøkter, handlekurv, språkvalg og sikkerhetstoken. Analyse, markedsføring og sporing krever samtykke.

Hvem fører tilsyn med cookies i Norge?

Nkom forvalter ekomloven. Men fordi § 3-15 knytter samtykkekravet til GDPR, fører Datatilsynet tilsyn med selve samtykket. Datatilsynet er derfor den mest relevante myndigheten hvis cookie-banneret ditt ikke oppfyller kravene.

Hvilken paragraf skal cookie-erklæringen min vise til?

Ekomloven § 3-15, ikke § 2-7b. Hvis erklæringen din fortsatt viser til § 2-7b, er den utdatert, og den er sannsynligvis ikke vurdert opp mot dagens samtykkekrav.

← Blogg

Samtykke & cookies

Ekomloven § 2-7b er opphevet: dette gjelder for cookies nå

§ 2-7b er kanskje den mest siterte paragrafen i norsk cookie-historie. Du finner den fortsatt nederst i tusenvis av cookie-erklæringer. Problemet er bare at paragrafen ble opphevet 1. januar 2025.

Publisert 29. mai 20268 min lesing

Redaksjonell illustrasjon med overskriften «Ekomloven § 2-7b forklart» og underteksten «Hva loven krever, hvem den gjelder for, og hvordan du sikrer samtykke til lagring og tilgang til informasjon i sluttbrukers utstyr». Tre ikon-callouts under overskriften: «Krav og vilkår — Dette sier § 2-7b», «Hvem gjelder det for? Tjenester og aktører», og «Samtykke i praksis — Slik gjør du det riktig». Til høyre står et kort med tittelen «Ekomloven § 2-7b» og et sitat: «Informasjonskapsler og lignende teknologier kan bare lagres eller gis tilgang til i sluttbrukers utstyr dersom sluttbrukeren har gitt sitt samtykke». Foran kortet står et grønt skjold med nettleser-ikon og et lite hengelås med avkrysning, samt en mørkegrønn penn.

Her forklarer vi hva ekomloven faktisk sier om informasjonskapsler i dag, hvorfor § 2-7b ikke lenger er riktig å vise til, og hva du bør gjøre hvis cookie-erklæringen din fortsatt bruker den gamle henvisningen.

Hvis du blar til bunnen av en tilfeldig norsk cookie-erklæring, er sjansen stor for at du finner en setning som: «I henhold til ekomloven § 2-7b bruker vi informasjonskapsler …»

I mange år var dette standardformuleringen i norske cookie-tekster. Men paragrafen finnes ikke lenger.

1. januar 2025 ble ekomloven fra 2003 erstattet av en ny lov. Cookie-regelen ble flyttet fra § 2-7b til § 3-15, samtidig som kravet til samtykke ble skjerpet betydelig.

Denne artikkelen forklarer hva ekomloven er, hvorfor den regulerer cookies, hva som skiller gamle § 2-7b fra dagens § 3-15, og hva du konkret bør endre i cookie-erklæringen din.

Hva er ekomloven — og hvorfor handler den om cookies?

Ekomloven er kortformen for lov om elektronisk kommunikasjon. Den handler først og fremst om nett, teletjenester, frekvenser og digital infrastruktur — ikke om personvern i seg selv.

At cookies likevel reguleres her, er ikke tilfeldig. En informasjonskapsel er teknisk sett noe som lagres i, eller leses fra, brukerens kommunikasjonsutstyr. Det er nettopp denne handlingen — å lagre eller hente ut opplysninger fra utstyret ditt — ekomloven regulerer.

Bakgrunnen er EUs ePrivacy-direktiv, også kalt kommunikasjonsverndirektivet. Norge er bundet av direktivet gjennom EØS-avtalen. Direktivet krever samtykke for lagring og lesing av informasjon på sluttbrukerens utstyr, uavhengig av om informasjonen er personopplysninger eller ikke.

Derfor ligger cookie-reglene i ekomloven, og ikke bare i personopplysningsloven, selv om reglene i praksis henger tett sammen med GDPR.

Et viktig poeng blir ofte oversett: regelen gjelder ikke bare tradisjonelle cookies. Den gjelder all lagring og lesing i brukerens utstyr. Det betyr at local storage, sporingspiksler, fingerprinting og lignende teknologier også omfattes.

«Cookieloven» er derfor egentlig et upresist kallenavn. Reglene handler ikke om cookies som teknologi, men om tilgang til brukerens utstyr.

§ 2-7b — regelen fra den gamle ekomloven

§ 2-7b ble innført i den gamle ekomloven fra 2003 og var i mange år den sentrale norske regelen for bruk av cookies.

Bestemmelsen krevde at brukeren fikk informasjon om hvilke opplysninger som ble behandlet, hva formålet var, og hvem som behandlet opplysningene. Den krevde også at brukeren samtykket.

Men den gamle regelen hadde en stor svakhet: samtykke kunne anses gitt gjennom nettleserinnstillinger.

I praksis betydde det at hvis nettleseren tillot cookies — slik de fleste nettlesere gjorde som standard — kunne det tolkes som samtykke. Dette ble gjerne kalt «implisitt samtykke».

Konsekvensen var at et passivt cookie-banner ofte var nok. En tekst som «vi bruker cookies» kunne i praksis oppfylle kravet, selv om brukeren aldri tok et aktivt valg.

Resultatet var en regel som sto i loven i over ti år, men som i liten grad ble håndhevet. I praksis handlet det mer om å informere enn å gi brukeren et reelt valg. Det er denne perioden mange eldre cookie-erklæringer fortsatt bærer preg av.

§ 3-15 — den nye regelen fra 2025

1. januar 2025 trådte den nye ekomloven i kraft. Den erstattet loven fra 2003, og cookie-regelen ble flyttet til § 3-15.

Den viktigste endringen ligger i kravet til samtykke. Den nye bestemmelsen sier at samtykke skal oppfylle kravene til samtykke i personvernforordningen, altså GDPR.

Det betyr at samtykket må være:

frivillig
spesifikt
informert
utvetydig
gitt gjennom en aktiv handling

Muligheten til å basere seg på nettleserinnstillinger er borte. Det som tidligere kunne passere som «implisitt samtykke», holder ikke lenger.

Et passivt banner som bare informerer om at nettstedet bruker cookies, er derfor ikke gyldig etter dagens regelverk.

Hva er forskjellen i praksis?

Selve handlingen loven regulerer, er den samme: å lagre eller hente informasjon fra brukerens utstyr. Det som har endret seg, er terskelen for lovlig bruk.

Under gamle § 2-7b kunne samtykke i praksis bygges på nettleserinnstillinger. Under nye § 3-15 må samtykket oppfylle GDPR-kravene.

Det betyr blant annet at ikke-nødvendige cookies skal være slått av som standard. Brukeren må selv aktivt velge dem på.

Det betyr også at samtykket må være delt opp etter formål. Brukeren skal ikke tvinges til å gi ett samlet «ja til alt» for analyse, markedsføring og andre formål.

Tilsynet er også skjerpet. Ekomloven forvaltes fortsatt av Nkom, men Datatilsynet har fått tilsyns- og sanksjonsmyndighet for samtykkekravet.

Kort sagt: cookie-regelen har gått fra å være en lite håndhevet bestemmelse i telelovgivningen til å bli et reelt personvernkrav med aktivt tilsyn.

Hva regnes som «strengt nødvendig»?

§ 3-15 har unntak for lagring og lesing som er strengt nødvendig. Det gjelder to hovedsituasjoner:

når lagringen er strengt nødvendig for å overføre kommunikasjon i et elektronisk kommunikasjonsnett
når lagringen er strengt nødvendig for å levere en tjeneste brukeren uttrykkelig har bedt om

Dette unntaket tolkes snevert. Typiske eksempler er innloggingsøkter, handlekurv, språkvalg og sikkerhetstoken som beskytter mot misbruk. Felles for dem er at tjenesten ikke ville fungert som forventet uten dem.

Unntaket dekker derimot ikke Google Analytics, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, Hotjar, A/B-testing eller andre analyse- og sporingsverktøy.

En vanlig misforståelse er at analysecookies kan brukes uten samtykke fordi de «bare» brukes til statistikk. Det stemmer ikke. Statistikk er normalt ikke strengt nødvendig for å levere nettsiden brukeren har bedt om. Derfor krever analyseverktøy samtykke, på samme måte som markedsføringsverktøy.

Konsekvensen er enkel: hvis nettstedet ditt ikke bruker tredjepartsverktøy eller annen ikke-nødvendig lagring, trenger du heller ikke nødvendigvis et cookie-banner. Det er en fullt lovlig strategi, og det er slik vordr.no selv er bygget.

Hvem fører tilsyn — Nkom eller Datatilsynet?

Svaret er: begge, men på ulike måter.

Nkom forvalter ekomloven. Men fordi § 3-15 knytter samtykkekravet til GDPR, har Datatilsynet ansvar for å føre tilsyn med selve samtykket. I praksis betyr det at Datatilsynet er den mest relevante myndigheten hvis cookie-banneret ditt ikke oppfyller kravene.

Dette er ikke lenger teoretisk. Allerede i februar 2025 ila Datatilsynet et overtredelsesgebyr på 250 000 kroner til Alarmtelefonen for barn og unge. I tillegg fikk fem andre nettsteder irettesettelser for deling av personopplysninger gjennom sporingspiksler uten gyldig samtykke.

Datatilsynet varslet samtidig at fremtidige brudd kan føre til vesentlig høyere gebyrer. Vi har skrevet mer om saken og de vanligste bannerfeilene i gjennomgangen vår av cookie-reglene i Norge.

Hva betyr dette for cookie-erklæringen din?

Det viktigste du bør gjøre nå, er å sjekke hvilken paragraf cookie-erklæringen din viser til.

Hvis den fortsatt viser til ekomloven § 2-7b, er den utdatert. Henvisningen bør endres til ekomloven § 3-15.

Dette er ikke bare en kosmetisk endring. Feil paragraf signaliserer at teksten er skrevet før regelendringen i 2025, og at den sannsynligvis ikke er vurdert opp mot dagens samtykkekrav.

Du bør også sjekke om cookie-erklæringen faktisk stemmer med nettstedet ditt. Den bør vise hvilke cookies og lignende teknologier som brukes, hva formålet er, hvor lenge de lagres, og hvem som mottar dataene.

I tillegg må brukeren få et reelt valg. Et banner som bare sier «vi bruker cookies», hører hjemme i § 2-7b-tiden. Etter § 3-15 må brukeren kunne samtykke spesifikt per formål, og «Avvis alle» må være like tilgjengelig som «Godta alle».

Det vanskelige er sjelden å endre paragrafnummeret. Det vanskelige er å vite hva nettstedet faktisk laster — og når. Mange cookie-bannere ser riktige ut, men sporingsskript lastes likevel før brukeren har samtykket. Det er fortsatt en av de vanligste feilene.