← Blogg
Samtykke & cookies

Samtykke til cookies i Norge: krav, vanlige feil og bøter (2026)

1. januar 2025 strammet Norge inn cookie-reglene til GDPR-nivå. To måneder senere fikk Alarmtelefonen 250 000 kr i overtredelsesgebyr — fem andre nettsteder fikk irettesettelse. Og 86 prosent av norske nettsteder har fortsatt et banner som ikke holder mål.

9 min lesing

Illustrasjon av et norsk cookie-samtykkebanner. Et nettleservindu viser en samtykkeboks med teksten «Vi bruker informasjonskapsler» og tre likeverdige knapper «Godta alle», «Avvis alle» og «Tilpass valg». Til venstre står et grønt skjold-merke «GDPR COMPLIANT». Til høyre står et rødt stempel «Vanlige feil — Bøter» og et amber-merke «Gebyr ved brudd opptil 4 % av årsomsetning».

Reglene rundt cookies har vært norsk lov i over et tiår, men i praksis har de vært sovende. Det endret seg 1. januar 2025, da en ny ekomlov flyttet samtykkekravet inn i GDPR — og overlot tilsynet til Datatilsynet sammen med Nkom. Resultatet kom raskt: i februar 2025 ila Datatilsynet det første gebyret etter den nye loven, og varslet at neste runde blir strengere.

Vi har gått gjennom det som faktisk står i loven, hva Datatilsynet har vedtatt, og hvilke konkrete bannerfeil Vordr finner igjen og igjen når vi skanner norske nettsteder. Slik vet du om ditt eget banner holder juridisk mål — eller om det er på vei mot et gebyr.

Hva endret seg 1. januar 2025?

Den gamle hjemmelen — Ekomloven § 2-7b fra 2003 — ble erstattet av § 3-15 i ny ekomlov (lov 2024-12-13-76). Mange artikler — og en god del bannertekster — siterer fortsatt § 2-7b. Det er feil paragraf siden 1. januar 2025.

Den nye paragrafen sier, ordrett:

«Det er ikke tillatt å lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers eller brukers kommunikasjonsutstyr uten at den aktuelle sluttbrukeren eller brukeren er informert om blant annet hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene, og uten at den aktuelle sluttbrukeren eller brukeren har gitt samtykke. Samtykke skal oppfylle kravene til samtykke i personvernforordningen.»

Den siste setningen er den viktige. Tidligere var det nok at brukeren ble «informert» — typisk via en passiv «vi bruker cookies»-melding. Nå må samtykket oppfylle GDPRs definisjon:

  • frivillig — uten press eller koblet til tilgang
  • spesifikt — for konkrete formål, ikke «generelt samtykke»
  • informert — brukeren forstår hva hen samtykker til
  • utvetydig — aktiv handling, ikke stilltiende aksept

I tillegg har Datatilsynet nå klar tilsynshjemmel sammen med Nkom — det betyr at gebyrer kan skrives ut etter personopplysningsloven, ikke bare etter ekomloven. Det er det som gjør 2025-saken alvorlig.

Trenger du i det hele tatt et samtykkebanner?

Et viktig spørsmål som de fleste hopper over: hvis du ikke setter ikke-essensielle cookies, trenger du ikke et samtykkebanner. § 3-15 unntar to typer:

  • cookies som er strengt nødvendige for å overføre kommunikasjon i nettverket
  • cookies som er strengt nødvendige for å levere tjenesten brukeren har bedt om

I praksis dekker dette innloggingsøkter, handlekurv, språkvalg og CSRF-token. Det dekker ikke Google Analytics, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, Hotjar, Clarity, eller noen form for sporing på tvers av nettsteder.

Konsekvensen: hvis nettstedet ditt ikke laster verktøy fra tredjepart, slipper du både banner og samtykke. Det er en helt legitim strategi som flere offentlige nettsteder allerede har valgt. Det er også slik vordr.no selv er bygget — og hvorfor scoren vår på cookies-erklæringen er 100 av 100.

Datatilsynets 10 regler — i praksis

I januar 2025 publiserte Datatilsynet en veiledning med ti konkrete krav. Slik kan du oversette dem til faktiske bannerkrav:

  1. Gi klar og forståelig informasjon i samtykkeboksen.
    Ikke skjul kategoriene bak «detaljer»-knapp — vis dem på førstenivå.
  2. Suppler banneret med fullstendig informasjon.
    Lenk til en cookie-erklæring som lister hver enkelt cookie, formål og varighet.
  3. Ikke gjør tilgang betinget av samtykke.
    Ingen «cookie wall» — brukeren skal kunne lese innholdet uten å samtykke.
  4. La brukeren velge formål.
    Granulært samtykke per kategori (analyse, markedsføring, personalisering) — ikke ett samlet «Godta».
  5. Ingen forhåndsavkryssede bokser.
    Alle valg starter på «av». Brukeren krysser av aktivt.
  6. Avvisning skal ikke kreve flere klikk enn aksept.
    Hvis «Godta alle» er ett klikk, må «Avvis alle» også være ett klikk.
  7. Ikke skjul avvisningsknappen.
    Samme størrelse, farge og plassering som godta-knappen.
  8. Bruk klare formuleringer.
    «Godta alle» / «Avvis alle» / «Tilpass valg» — ikke «Fortsett», «OK» eller «Skjønner».
  9. Gjør det enkelt å trekke tilbake samtykke.
    En permanent lenke i footeren — typisk «Endre samtykke». Ikke gjemt bak innstillingsmenyer.
  10. Hold orden i eget hus.
    Skanner du nettstedet for ukjente cookies fra tredjepart? Hvis ikke, vet du ikke hva brukerne dine faktisk samtykker til.

Konkrete saker fra Datatilsynet i 2025

I februar 2025 publiserte Datatilsynet avgjørelsen mot seks nettsteder som ulovlig delte personopplysninger gjennom sporingspiksler. Sakene er den klareste pekepinnen på hva som faktisk straffes:

  • 116111.no (Alarmtelefonen for barn og unge, Kristiansand kommune) — 250 000 kr i overtredelsesgebyr. Avgjørende moment: tjenesten er offentlig, behandler data om sårbare barn, og lekket informasjon til tredjepart uten rettslig grunnlag.
  • apotekfordeg.no, bibel.no, drdropin.no, ifengsel.no, nhi.no — alle fikk irettesettelse for tilsvarende brudd. Datatilsynet varslet at neste runde tilsyn vil føre til vesentlig høyere gebyrer.

De konkrete bruddene gikk igjen:

  • besøkende fikk feil informasjon om at de var anonyme — når de ikke var det
  • sensitive personopplysninger ble delt med tredjepart
  • personopplysninger om barn ble delt med tredjepart
  • brukerne ble «dyttet» til å gi samtykke gjennom utforming
  • informasjon var villedende eller forklarte ikke konsekvensene

Det er verdt å merke seg at fem av seks nettsteder slapp gebyr denne gangen — men irettesettelsen er en form for offentlig rød-flagging som ikke forsvinner. Og Datatilsynet har skrevet svart på hvitt at de samme bruddene neste gang vil bli sanksjonert hardere.

De vanligste bannerfeilene vi finner

Når Vordr skanner et norsk nettsted, kjører vi en automatisk samtykkerevisjon mot ekomloven § 3-15 og GDPR. Disse feilene går igjen — i den rekkefølgen de er vanlige:

1. Skript laster før samtykke

Den klart største kategorien. Google Tag Manager, Meta Pixel, Hotjar eller andre verktøy starter automatisk når siden lastes — før brukeren har sett banneret. Selv om banneret deretter ber om samtykke, har sporingen allerede skjedd. Dette er teknisk det samme bruddet som de seks nettstedene fikk reagert mot.

2. «Avvis alle» mangler på første nivå

Banneret har «Godta alle» og «Innstillinger». For å avvise må brukeren inn i innstillinger, fjerne avkryssing per kategori, og så lagre. Det er en direkte overtredelse av regel 6 og 7 hos Datatilsynet.

3. Forhåndsavkryssede kategorier

«Markedsføring» eller «Analyse» er allerede krysset av når brukeren åpner detaljer. Brukeren må aktivt fjerne avkryssingen. Brudd på regel 5.

4. Visuell skjevhet mellom Godta og Avvis

«Godta alle» er en sterk farget knapp. «Avvis» er en grå tekstlenke. Selv om begge er ett klikk, gir det ikke «sammenlignbar oppmerksomhet» (regel 7).

5. Cookie-erklæring som ikke matcher faktiske cookies

Erklæringen lister tre cookies. Skannet finner sytten. Differansen er typisk Google-tjenester, A/B-testverktøy eller analyseverktøy som er installert i ettertid uten at erklæringen er oppdatert.

6. Ingen permanent måte å trekke tilbake samtykke

Banneret kommer én gang og forsvinner. Ingen lenke i footeren, ingen «Endre samtykke»-side. Brudd på regel 9.

7. Pikselsporing på offentlig sektor

Spesielt alvorlig på offentlige nettsteder, der brukeren ofte er tvunget til å bruke tjenesten. Meta Pixel, LinkedIn Insight Tag og TikTok Pixel hører ikke hjemme på en kommunal tjeneste — det var nettopp dette de seks nettstedene ble felt for.

8. Banner som tar samtykke ved sidelast («continued browsing»)

«Ved å fortsette å bruke siden samtykker du.» Dette har vært ugyldig under GDPR siden 2018, men finnes fortsatt på en rekke norske nettsteder. Det er ikke samtykke — det er fiksjon.

12 punkter du kan sjekke selv

Åpne nettstedet ditt i en privat fane og gå gjennom listen. Hvert «nei» er en risiko under § 3-15.

  1. Vises banneret før noen tredjeparts-skript lastes?
  2. Finnes «Avvis alle» på første nivå, ikke gjemt i meny?
  3. Er «Avvis alle» like fremtredende som «Godta alle»?
  4. Er «Avvis alle» like enkelt å trykke (samme antall klikk)?
  5. Er alle ikke-essensielle kategorier av som standard?
  6. Kan brukeren velge per kategori (analyse, markedsføring, personalisering)?
  7. Lenker banneret til en cookie-erklæring som lister hver enkelt cookie?
  8. Stemmer cookie-erklæringen med det som faktisk settes på siden?
  9. Finnes det en permanent «Endre samtykke»-lenke i footeren?
  10. Er knappetekstene tydelige («Godta», «Avvis», «Tilpass»), ikke «OK»?
  11. Er banneret tilgjengelig med tastatur og skjermleser (WCAG 2.1 AA)?
  12. Siterer cookie-erklæringen ekomloven § 3-15 — ikke gamle § 2-7b?

Relaterte artikler