← Blogg
Samtykke & cookies

Spesifikt samtykke til cookies — hva Datatilsynet faktisk krever

Mange tror at et samtykkebanner er gyldig så lenge brukeren kan klikke «Godta alle» eller «Avvis alle». Det er ikke nok. Datatilsynet krever at samtykket skal være spesifikt, slik at brukeren kan velge for hvert enkelt formål.

7 min lesing

Illustrasjon av et spesifikt cookie-samtykke. Et nettleservindu viser en samtykkeboks med tre likeverdige knapper «Godta alle», «Avvis alle» og «Tilpass», pluss tre fyrtårn-prinsipper: «Samtykke må være spesifikt», «Likeverdige valg», «Du bestemmer over dine data». Til høyre står en Tilpass-dialog med separate brytere for Statistikk, Markedsføring og Personalisering. Til venstre symboliserer et stengselt bom-skilt, en hengelås og avkryssede sporings-ikoner at sporing er stoppet før samtykke. Til høyre står et EU-flagg-merke og en GDPR-bok.

Begrepet «spesifikt samtykke» kommer rett fra personvernforordningen (GDPR) artikkel 4 nr. 11, som definerer samtykke som «en frivillig, spesifikk, informert og utvetydig viljesytring». Datatilsynet legger den samme tolkningen til grunn når de vurderer om en samtykkebanner er gyldig — og når de gir bøter.

Hva «spesifikt» betyr i praksis

«Spesifikt» betyr at brukeren skal kunne ta stilling til hvert formål for seg. Hvis nettstedet ditt setter informasjonskapsler til både statistikk og markedsføring, kan du ikke be om samtykke til begge i samme klikk. Brukeren må kunne si ja til statistikk og samtidig nei til markedsføring.

I praksis betyr det at samtykkebanneren din må gi minst tre reelle valg:

  • Godta alle
  • Avvis alle (bare strengt nødvendige cookies)
  • Tilpass — der hver formålskategori kan velges separat

Felles for de tre er at de skal være like enkle å nå. Hvis «Avvis» krever ekstra klikk eller leter brukeren ned i en undermeny, er samtykket ikke lenger frivillig.

De fem kravene til et gyldig samtykke

GDPR stiller fem absolutte krav. Mangler ett av dem, er samtykket ugyldig — uansett hvor pent banneret ser ut.

  1. Frivillig.
    Brukeren må kunne si nei uten å få mindre tilgang eller dårligere opplevelse. «Avvis alle» kan ikke gjemmes bak ekstra klikk eller mindre fremtredende design.
  2. Spesifikt.
    Per formål, ikke i én pakke for alt. Statistikk og markedsføring må kunne velges hver for seg.
  3. Informert.
    Brukeren må vite hvilke cookies som settes, hvem som mottar dataene, og hva de brukes til. Klart språk, ikke jusspråk.
  4. Utvetydig.
    Aktiv handling kreves — at brukeren krysser av en boks eller klikker «Godta». Forhåndsavkryssede bokser teller ikke som samtykke.
  5. Mulig å trekke tilbake.
    Det skal være like lett å trekke tilbake samtykket som å gi det. En liten cookie-lenke i bunnteksten holder ikke hvis banneret hadde stor «Godta»-knapp midt på skjermen.

«Avvis alle» må være like enkelt som «Godta alle»

De to knappene skal være like store, ha lik kontrast, og ligge på samme nivå i banneret. Hvis «Godta» er en stor grønn knapp og «Avvis» er en grå tekstlenke, er samtykket ikke frivillig — og dermed ugyldig.

Ingen sporing før samtykke

Cookies som ikke er strengt nødvendige skal ikke settes før brukeren har samtykket. Det betyr at sporingsskript fra Google, Meta og andre tredjeparter må vente. Dette er den vanligste tekniske feilen vi ser: banneret ser riktig ut, men koden bak laster sporerne med en gang siden åpnes.

Hver kategori skal kunne velges separat

Statistikk, markedsføring, personalisering — hver formålskategori skal ha sin egen avkrysningsboks i tilpasse-visningen. Brukeren skal kunne huke av for noen og la andre stå.

Klart språk, ikke teknisk

«Vi bruker cookies for å analysere bruken og tilpasse innholdet» er greit. «Vi bruker første- og tredjeparts informasjonskapsler for å fasilitere brukeropplevelsen» er for vagt og teknisk til at brukeren faktisk kan ta et informert valg.

Lett å ombestemme seg senere

Det må finnes en måte å åpne samtykkebanneret igjen — typisk en lenke i bunnteksten som heter «Cookies» eller «Endre samtykke». Brukeren skal kunne trekke tilbake hele eller deler av samtykket uten å slette nettleserdata manuelt.

Vanlige feil — og hvordan de ser ut

Disse mønstrene er det Datatilsynet leter etter:

  • Bare «Godta alle» synlig — avvis-knappen er gjemt eller mangler helt.
  • «Godta alle» som primærknapp og «Tilpass» som lenke — krever ekstra klikk for å si nei.
  • Forhåndsavkryssede bokser for analyse eller markedsføring i tilpasse-visningen.
  • Sporingsskript som lastes før banneret vises — tredjeparts cookies fra Google Analytics, Meta Pixel eller HotJar settes umiddelbart.
  • Ingen tilbakekall — banneret vises kun én gang, og brukeren har ingen måte å åpne det igjen senere.

Sjekk din egen banner på fem minutter

En rask manuell test du kan kjøre selv, uten verktøy:

  1. Åpne siden i inkognitomodus.
    Sjekk at banneret faktisk vises. Hvis ikke, kan det være låst til førstegangsbesøkende.
  2. Tell knappene.
    Er «Godta alle» og «Avvis alle» like fremtredende? Eller er den ene en stor knapp og den andre en lenke?
  3. Åpne nettleserens utviklerverktøy → Application → Cookies.
    Hvilke cookies er allerede satt før du har klikket på noe? Hvis det ligger noe der fra Google, Meta eller andre tredjeparter, er det et lovbrudd.
  4. Klikk «Tilpass» eller liknende.
    Er bokser for analyse og markedsføring av som standard? Eller forhåndsavkrysset?
  5. Last siden på nytt og prøv å trekke tilbake samtykket.
    Finner du en lenke i bunnteksten eller annet sted? Tar det like få klikk som å gi samtykket?

Videre lesning

Relaterte artikler