Can you introduce us to the 2025 E-Com Act update? What is it about, why is it being introduced now, and what is its overarching goal?

The E-Com Act 2025 is Norway’s response to growing concerns about data privacy and the misuse of tracking technologies like cookies. At its core, the updated Act aims to give Norwegian users more control over their personal data and ensure transparency in how businesses collect and process it. The timing aligns with a global push toward stricter privacy standards, building on the foundation of the General Data Protection Regulation (GDPR) and better aligning Norwegian legislation with the ePrivacy Directive. The law addresses long-standing gaps in aligning the Norwegian cookies consent regulation with the EU regulation, particularly with outdated practices like implied consent or insufficient cookie disclosures. Its broader goal is to create a digital ecosystem where users can trust that their data is handled responsibly while businesses operate transparently.

What qualifies as 'explicit consent,' and how can companies ensure their consent mechanisms meet this standard?

Explicit consent under the 2025 E-Com Act update requires that users actively and knowingly agree to the use of cookies or other online tracking technologies. This means no pre-ticked boxes, implied consent, or vague language. Companies must ensure users can make granular choices, such as accepting or rejecting specific cookie categories. Clear explanations about the purpose of each cookie, written in plain language, are critical. For example, 'We use analytics cookies to improve site functionality' is compliant, while 'We use cookies for your convenience' is too ambiguous.

What nuances of the 2025 Norwegian E-Com Act update should businesses pay special attention to, beyond the basics of cookie consent?

According to the new E-Com Act, the use of all cookies – except for 'strictly necessary cookies' – requires consent, and the consent must meet GDPR standards. This places emphasis on the granularity of consent and the information given about data processing via cookies. Businesses should also ensure users can withdraw consent as easily as they give it, meaning prominently placed 'manage cookies' options on every page.

What are the legal best practices for drafting a compliant cookie policy under the new E-Com Act update?

A compliant cookie policy should detail the types of cookies used, their purposes, duration, and any third-party access. The policy must be easily accessible, written in clear language, and updated regularly. It should also include links or a mechanism to manage cookie preferences directly from the policy and disclose what personal data is collected and how it’s processed. Using automated tools like a Consent Management Platform (CMP) can ensure accurate and up-to-date information.

What legal risks do companies face when relying on third-party cookie vendors?

Using third-party vendors introduces shared legal responsibility for data protection. Businesses must ensure their vendors comply with the 2025 E-Com Act update and GDPR, which involves due diligence, maintaining data processing agreements, and auditing vendor practices. If a vendor fails to comply, the business may still be held liable, emphasizing the need for careful selection and oversight.

What are the legal risks for companies that fail to comply with the Norwegian E-Com Act 2025 update?

Norwegian authorities like Datatilsynet and Nkom can impose sanctions and fines for non-compliance. Beyond financial repercussions, businesses risk reputational damage and public scrutiny, especially for repeat violations. Ignorance of the law is not a valid defense, so proactive compliance is essential.

What steps should a company take to demonstrate compliance during an audit?

Companies should maintain detailed records of user consents, including timestamps, cookie categories, and purposes. They should review and update their privacy and cookie policies regularly, ensuring transparency and verifiability of consent mechanisms. A robust compliance framework, including tools like a cookie banner integrated with tracking systems, can streamline audits and show commitment to the law.

What specific challenges do international companies face when complying with the E-Com Act, and how can they address them?

International companies targeting Norwegian users must align their cookie practices with the E-Com Act even if they primarily operate elsewhere. This means ensuring cookie consent banners meet Norwegian standards and personal data is processed within GDPR and E-Com Act guidelines. Challenges often arise from conflicting regulations across jurisdictions, but localization strategies, tailored banners, and legally vetted data transfer agreements can mitigate these issues.

What types of websites or industries are most impacted by the changes imposed by the new E-Com Act in Norway?

Industries relying on user data—such as ecommerce, media and news outlets, travel and hospitality, social media, and SaaS platforms—are most impacted. These sectors frequently use cookies for personalization, tracking, or analytics and will now require explicit consent for all non-strictly-necessary cookies. Failure to adapt can result in compliance issues and potential fines.

How should ecommerce platforms adapt their cookie practices to comply with the updated Norwegian E-Com Act from 2025?

Ecommerce platforms must obtain explicit consent for non-essential cookies (marketing or analytics) before they’re fired. Essential cookies used for necessary site functions like shopping carts may not require consent but must still be clearly disclosed. Implementing a consent management platform can help control which cookies are fired and when, ensuring compliance with the new rules.

How does the updated E-Com Act impact mobile apps differently than traditional websites, and what steps should app developers take to ensure compliance?

Mobile apps often use tracking technologies similar to cookies. The 2025 E-Com Act mandates explicit consent for any data collection beyond what is strictly necessary for core app functions. App developers should implement in-app consent mechanisms that clearly explain data collection purposes and allow users to manage preferences easily. Privacy and cookie policies should be transparent and accessible within the app.

What are the legal implications of combining consent data across platforms (e.g., website and mobile app)?

Synchronizing consent data across platforms requires that user preferences are respected consistently. Users must be informed if their consent applies to multiple platforms and be able to manage their preferences individually. Improper synchronization can lead to non-compliance if users feel their rights are infringed. Centralized consent management tools can help maintain a compliant and unified user experience.

What are the legal boundaries for designing cookie banners that are both compliant and user-friendly?

Cookie banners must be accessible, avoiding dark patterns, and should offer equally clear 'accept' and 'reject' options. They must provide easy-to-understand information about cookies and allow users to manage preferences at any time. Accessibility requirements, such as compatibility with screen readers, also apply. Balancing legal obligations with a user-friendly design typically involves collaboration between legal and UX design teams.

Who holds legal responsibility for ensuring compliance with the new E-Com Act requirements within an organization?

Generally, the organization using the cookies is responsible, with accountability often resting at the executive level (e.g., CEO, general manager). However, multiple teams play critical roles—IT for technical implementation, marketing for user-facing elements, and legal or DPO for oversight. A designated privacy responsible or a Data Protection Officer (DPO) ensures centralized accountability and adherence to privacy regulations.

What role do user education and communication play in privacy compliance?

User education is key to transparency and trust. While not always a strict legal requirement, clearly explaining the purpose of cookies and user rights can reduce complaints and strengthen a company’s legal position. Tools like FAQs, in-banner explanations, and accessible privacy policies help users understand their choices, improving the overall compliance posture.

Are there legal trends or upcoming regulations that could further impact data privacy and cookies in Norway or Europe?

The 2025 E-Com Act reflects a broader move toward stricter privacy regulations. Trends include 'privacy by design,' the possible phasing out of third-party cookies, and increased scrutiny on alternative tracking methods like fingerprinting or server-side tracking. As technology evolves, additional regulations may appear, so investing in first-party data strategies and privacy-centric tools can keep businesses both compliant and competitive.

Forstå den oppdaterte norske Ekomloven 2025: Intervju med Jan Sandtrø, teknologijurist

Blogg

Ines Pimentel

24/01/2025

Teknologijurist Jan Sandtrø gjennomgår den nye 2025-versjonen av den norske Ekomloven og deler praktiske innsikter om regler for informasjonskapsler, eksplisitt samtykke og strategier for å sikre at virksomheten din oppfyller de nye personvernkravene.

Etter at den oppdaterte 2025-versjonen av den norske Ekomloven trådte i kraft 1. januar 2025, er virksomheter på tvers av bransjer i ferd med å tilpasse seg strengere regler for informasjonskapsler og samtykke. Men hva betyr egentlig disse endringene for organisasjonen din? For å gi klarhet og praktiske råd, henvendte vi oss til Jan Sandtrø, en uavhengig advokat som spesialiserer seg på juridisk teknologi, digitalisering, personvern, markedsføringslovgivning og andre områder.

I dette intervjuet dykker Jan ned i de juridiske nyansene ved den nye Ekomloven og gir praktiske råd for virksomheter i alle størrelser. Les intervjuet for å finne ut hvordan du forbereder virksomheten din på den nye loven.

Jan Sandtrø

Advokat, MNA

Kan du introdusere oss for oppdateringen av Ekomloven 2025? Hva handler den om, hvorfor blir den innført nå, og hva er dens overordnede mål?

Ekomloven 2025 er Norges svar på økende bekymringer om dataprivacy og misbruk av sporingsteknologier som informasjonskapsler. Kjernen i den oppdaterte loven er å gi norske brukere mer kontroll over sine personlige data og sikre åpenhet i hvordan virksomheter samler inn og behandler dataene. Tidspunktet sammenfaller med et globalt press for strengere personvernstandarder, og bygger på grunnlaget i den generelle personvernforordningen (GDPR), samtidig som den bedre tilpasser norsk lovgivning med ePrivacy-direktivet.

Loven adresserer langvarige mangler i tilpasningen av den norske samtykkelovgivningen for informasjonskapsler til EU-reguleringen, spesielt med hensyn til utdaterte praksiser som implisitt samtykke eller utilstrekkelige varsler om informasjonskapsler.

Det bredere målet er å skape et digitalt økosystem der brukerne kan stole på at deres data behandles ansvarlig, samtidig som virksomheter opererer med åpenhet. Ved å håndheve krav om eksplisitt samtykke og holde organisasjoner ansvarlige, reflekterer den oppdaterte Ekomloven en global trend der personvern prioriteres som en grunnleggende rettighet.

Les mer:

Nye retningslinjer for informasjonskapsler i Norge 2025: Slik overholder du den oppdaterte Ekomloven

Hva kvalifiserer som "eksplisitt samtykke", og hvordan kan selskaper sikre at samtykkemekanismene deres møter denne standarden?

Eksplisitt samtykke under den oppdaterte Ekomloven 2025 krever at brukere aktivt og bevisst gir sitt samtykke til bruk av informasjonskapsler eller andre online sporingsteknologier. Dette innebærer at forhåndsmerkede bokser, implisitt samtykke og vage formuleringer ikke er tillatt.

Selskaper må sørge for at brukerne kan ta detaljerte valg, som å akseptere eller avvise spesifikke kategorier av informasjonskapsler, for eksempel for markedsføring eller analyse.

Tydelige forklaringer på formålet med hver informasjonskapsel, skrevet i enkelt språk, er avgjørende. For eksempel: ‘Vi bruker analysekapsler for å forbedre funksjonaliteten på nettstedet’ er i samsvar, mens ‘Vi bruker informasjonskapsler for din bekvemmelighet’ er for vagt.

“Eksplisitt samtykke under den oppdaterte Ekomloven 2025 krever at brukere aktivt og bevisst samtykker til bruken av informasjonskapsler eller andre online sporingsteknologier.”

— Jan Sandtrø

Hvilke nyanser i den oppdaterte norske Ekomloven 2025 bør virksomheter være spesielt oppmerksomme på, utover grunnleggende samtykke for informasjonskapsler?

Ifølge den nye Ekomloven krever bruken av alle informasjonskapsler – unntatt for “strengt nødvendige informasjonskapsler” – samtykke, og samtykket skal være i samsvar med GDPR-kravene for samtykke. Dette legger sterk vekt på detaljeringsgraden av samtykket og informasjonen som gis ved bruk av samtykke og behandlingen av personopplysninger som samles inn gjennom bruk av informasjonskapsler. Virksomheter bør sørge for at brukerne kan akseptere eller avvise informasjonskapsler etter kategori (f.eks. markedsføring, analyse) og gi informasjon om hvilke informasjonskapsler som benyttes.

En annen nyanse er forventningen om at brukerne skal kunne trekke tilbake samtykke like enkelt som de gir det. Dette betyr tydelig plasserte “administrer informasjonskapsler”-alternativer på hver side.

Hva er de juridiske beste praksisene for å utarbeide en informasjonskapselpolicy i samsvar med den nye Ekomloven?

En samsvarende informasjonskapselpolicy under oppdateringen av Ekomloven 2025 bør inkludere detaljert informasjon om hvilke typer informasjonskapsler som brukes, deres formål, varigheten av datalagring og om tredjepart har tilgang til dataene.

Policyen må være lett tilgjengelig, skrevet på klart og forståelig språk, og oppdatert regelmessig for å reflektere endringer i praksis. Ved å integrere automatiske oppdateringer gjennom verktøy som samtykkebehandlingsløsninger sikres nøyaktighet og samsvar.

Selskaper bør også gi lenker for å administrere preferanser for informasjonskapsler direkte fra policyen. I tillegg bør informasjonskapselpolicyen eller personvernerklæringen inkludere informasjon om hvilke personopplysninger som samles inn ved bruk av informasjonskapsler og hvordan disse dataene behandles.

“Virksomheter må sikre at deres leverandører overholder oppdateringen av Ekomloven 2025 og GDPR.”

— Jan Sandtrø

Hva er de juridiske risikoene for selskaper som er avhengige av tredjeparts informasjonskapselleverandører?

Bruk av tredjepartsleverandører introduserer delt juridisk ansvar for databeskyttelse. Virksomheter må sørge for at deres leverandører overholder den oppdaterte Ekomloven 2025 og GDPR. Dette innebærer grundig due diligence, vedlikehold av databehandlingsavtaler (DPA) og regelmessige revisjoner av leverandørenes praksis. Hvis en leverandør ikke overholder kravene, kan virksomheten fortsatt holdes ansvarlig, noe som understreker behovet for nøye valg og tilsyn med tredjepartsleverandører.

Hva er de juridiske risikoene for selskaper som ikke overholder den norske Ekomloven 2025?

De norske myndighetene, inkludert Datatilsynet og Nkom (Norsk kommunikasjonsmyndighet), kan pålegge sanksjoner, som bøter for manglende etterlevelse. Utover økonomiske konsekvenser risikerer virksomheter skader på omdømmet og offentlig granskning, spesielt for gjentatte brudd. Uvitenhet om loven anses ikke som en gyldig forsvar, så proaktiv etterlevelse er essensielt.

Hva bør et selskap gjøre for å demonstrere etterlevelse under en revisjon?

For å forberede seg til en revisjon, bør selskaper opprettholde detaljerte poster over brukernes samtykker, inkludert tidsstempler, informasjonskapselkategorier og formål. De bør også regelmessig gjennomgå og oppdatere sine personvern- og informasjonskapselpolicyer for å reflektere eventuelle endringer i praksis eller lovgivning, og sikre at samtykkemekanismene er transparente og verifiserbare.

Et robust rammeverk for etterlevelse og verktøy som en informasjonskapselbanner integrert med sporingssystemer kan effektivisere revisjonsprosessen og demonstrere virksomhetens forpliktelse til loven.

Hva er de spesifikke utfordringene som internasjonale selskaper står overfor når de overholder Ekomloven, og hvordan kan de håndtere dem?

Internasjonale selskaper som retter seg mot norske brukere, må tilpasse sine informasjonskapselpraksiser til Ekomloven, selv om hovedoperasjonene deres er utenfor Norge. Dette inkluderer å sørge for at informasjonskapselbannere møter norske standarder og at personopplysninger behandles innenfor rammene av GDPR og Ekomloven.

Utfordringer oppstår ofte fra motstridende reguleringer på tvers av jurisdiksjoner, men å implementere tilpassede informasjonskapselbannere for norske brukere og bruke lokaliseringsstrategier kan håndtere disse kompleksitetene.

Selskaper bør også evaluere sine datatransferavtaler i 2025 for å sikre samsvar med både GDPR og den oppdaterte Ekomloven. Samarbeid med juridiske eksperter som er kjent med norsk lov kan gi verdifull veiledning for å navigere gjennom disse kompleksitetene.

Hva slags nettsteder eller bransjer er mest påvirket av endringene som pålegges av den nye Ekomloven i Norge?

Ekomloven har stor påvirkning på nettsteder og bransjer som er sterkt avhengige av brukerdata for personalisering, sporing og analyser. Dette inkluderer:

E-handelsplattformer:
Disse nettstedene bruker ofte informasjonskapsler for personaliserte handleopplevelser, retargeting-annonser og gjenoppretting av forlatte handlekurver, som alle krever eksplisitt bruker-samtykke under de nye reglene.
Medier og nyhetsnettsteder:
Disse nettstedene bruker ofte informasjonskapsler for innholdsperonaliserte opplevelser og abonnementssporing. Samsvar vil innebære å revurdere hvordan informasjonskapsler benyttes og sørge for at brukere har klare samtykkealternativer.
Reise- og hotellnettsteder:
Plattformene bruker ofte informasjonskapsler for dynamisk prising og retargeting, som nå er underlagt strengere krav til samtykke.
Sosiale medier og plattformer for innholdsdeling:
Disse er avhengige av omfattende sporing for brukerengasjement, annonsering og algoritmisk innholdslevering. De vil trenge robuste samtykkemekanismer for å fortsette å operere innenfor loven.
SaaS-plattformer (software as a service):
Mange SaaS-leverandører bruker informasjonskapsler for brukeranalytikk, onboarding og funksjonsbruks-sporing. Eksplisitt samtykke er nå nødvendig for alle informasjonskapsler unntatt de som er strengt nødvendige.

I essens, enhver industri som bruker informasjonskapsler for formål utover grunnleggende og strengt nødvendige funksjoner – som markedsføring, personalisering eller sporing – er betydelig påvirket og har allerede vært i risiko siden 1. januar 2025, hvis de ikke har tilpasset seg de nye reglene ennå.

Hvordan bør e-handelsplattformer tilpasse informasjonskapselpraksisene sine for å overholde den oppdaterte norske Ekomloven fra 2025?

Som nevnt tidligere bruker e-handelsplattformer ofte informasjonskapsler for personaliserte handleopplevelser, handlekurvfunksjoner og målrettet annonsering. Under oppdateringen av Ekomloven 2025 må de innhente eksplisitt samtykke for ikke-essensielle informasjonskapsler, som de som brukes til markedsføring eller analyser, før de aktiveres.

Essensielle informasjonskapsler, nødvendige for grunnleggende og nødvendige funksjoner på nettstedet, som handlekurver, krever kanskje ikke samtykke, men bør også være tydelig beskrevet i informasjonskapselpolicyen.

Implementering av en omfattende samtykkebehandlingsplattform kan hjelpe med å sikre samsvar ved å tilby for eksempel en tilpasset tekst for informasjonskapselpolicyen, eller kontroll over hvilke informasjonskapsler som aktiveres og når.

Hvordan påvirker den oppdaterte Ekomloven mobilapper annerledes enn tradisjonelle nettsteder, og hvilke skritt bør app-utviklere ta for å sikre samsvar?

Mobilapper får ofte tilgang til enhetsinformasjon og bruker sporingsteknologier som ligner på informasjonskapsler. Ekomloven 2025 krever at brukere gir eksplisitt samtykke for all datainnsamling utover det som er strengt nødvendig for appens kjernefunksjonalitet, uavhengig av hvilken teknologi og plattform informasjonskapslene (eller lignende teknologi) bruker.

App-utviklere bør implementere samtykkemekanismer i appene som klart forklarer datainnsamlingsformålene og lar brukerne enkelt administrere sine preferanser. I tillegg bør apper presentere personvern- og informasjonskapselpolicyer på en transparent og lett tilgjengelig måte.

Hva er de juridiske implikasjonene av å kombinere samtykkedata på tvers av plattformer (f.eks. nettside og mobilapp)?

Synkronisering av samtykkedata på tvers av plattformer krever forsiktig håndtering for å sikre at brukerens preferanser blir respektert overalt. Derfor må virksomheter eksplisitt informere brukerne hvis samtykket deres gjelder for flere plattformer, og gi alternativer for å administrere preferanser individuelt.

Feil synkronisering kan føre til manglende etterlevelse dersom brukerne føler at deres rettigheter blir krenket. Implementering av sentraliserte samtykkebehandlingsverktøy som er i samsvar med den oppdaterte Ekomloven er avgjørende.

Hva er de juridiske grensene for utforming av informasjonskapselbannere som både er i samsvar med loven og brukervennlige?

Samtykkebannere og informasjonskapselpolicyer må utformes for å imøtekomme alle brukere, inkludert de med funksjonsnedsettelser. Dette betyr at de må være kompatible med skjermlesere, tilby tastaturnavigering og bruke klar, lesbar tekst.

Bannere bør være visuelt tiltalende, tilgjengelige og gi lettfattelig informasjon om informasjonskapsler. Respekt for brukernes autonomi krever også at man unngår såkalte “dark patterns”, som å gjøre “aksepter alle” knappen mer fremtredende enn “avvis alle”.

Å gi brukerne muligheten til å administrere preferansene sine når som helst gjennom vedvarende lenker øker også tilliten og sikrer samsvar.
Manglende etterlevelse av tilgjengelighetslover kan medføre ytterligere juridiske forpliktelser utover kravene i Ekomloven 2025. Organisasjoner kan balansere disse elementene ved å samarbeide tett med juridiske og UX-designteam.

Hvem har det juridiske ansvaret for å sikre etterlevelse av de nye Ekomloven-kravene i en organisasjon?

Det juridiske ansvaret for etterlevelse ligger vanligvis hos organisasjonen som bruker informasjonskapslene, med daglig leder/CEO eller tilsvarende som den ansvarlige personen. Men nøkkelroller er involvert: ledelsen for strategisk retning, IT-teamene for teknisk implementering og markedsføring for brukervendte elementer som informasjonskapselbannere.

Få det nå:

Sjekkliste for samsvar med den norske Ekomloven: en guide for markedsførere i 2025

Å ha en ansvarlig for personvern, eller DPO hvis nødvendig, eller et personvernteam, sikrer ansvarlighet og sentralisert tilsyn. Personvern etterlevelse bør være en samarbeidsinnsats, med transparente interne prosesser for implementering og opprettholdelse av samsvar med den oppdaterte Ekomloven.

Hva spiller brukeropplæring og kommunikasjon for rolle i personvernsamsvar?

Brukeropplæring er avgjørende for å fremme åpenhet og tillit. Utover implementering av samsvarende samtykkemekanismer bør virksomheter kommunisere formålet med informasjonskapslene og brukerens rettigheter på klart og tilgjengelig språk. Tiltak som FAQ-er eller forklaringer i bannerne kan redusere klager og forbedre brukeropplevelsen. Selv om det ikke er et strengt juridisk krav, styrker proaktiv kommunikasjon ofte selskapets juridiske posisjon og omdømme.

Er det juridiske trender eller kommende reguleringer som kan påvirke dataprivacy og informasjonskapsler ytterligere i Norge eller Europa?

Ekomloven 2025 signaliserer et bredere skifte mot strengere databeskyttelses- og personvernreguleringer over hele Europa. Virksomheter kan forvente at lignende lovgivning dukker opp i andre jurisdiksjoner.

En trend er det økende presset for “personvern gjennom design,” hvor personvernhensyn integreres i teknologiene fra starten av. Dette gjør samtykke lettere for brukerne å forstå og gir bedre informasjon om hva samtykket omfatter.

Partner spotlight:

Slik implementerer du en "Privacy by Design"-tilnærming til markedsføring og datainnsamling – Caset IIH Nordic

I tillegg omfatter den nye Ekomloven og ePrivacy-forordningen også andre sporingsteknologier enn “tradisjonelle” informasjonskapsler, så samtykke er, og vil fortsatt være, nødvendig ettersom sporingsteknologi utvikler seg.

Vi ser også diskusjoner om fremtiden for sporingsteknologier, som potensielt kan fase ut tradisjonelle sporingsteknologier som tredjeparts informasjonskapsler helt og bruke løsninger som fingeravtrykk eller server-side sporing.

Les mer:

Topp 13 spørsmål om nedleggelse av tredjeparts informasjonskapsler i digital markedsføring

Disse metodene er imidlertid også under økt gransking, noe som betyr at reguleringslandskapet sannsynligvis vil fortsette å utvikle seg mot strengere personvernbeskyttelse. Å forberede seg nå ved å investere i personvern-første teknologier og fokusere på førstepartsdata sikrer at du forblir i samsvar og konkurransedyktig etter hvert som disse trendene utvikler seg.

Er nettstedet ditt klart for oppdateringen av den norske Ekomloven 2025?

Med Cookie Information Cookie Banner for nettsteder kan du sikre samsvar, beskytte virksomheten din mot økonomiske risikoer, og holde markedsføringsresultatene på sporet.

Er nettstedet ditt klart for oppdateringen av den norske Ekomloven 2025?

Med Cookie Information Cookie Banner for nettsteder kan du sikre samsvar, beskytte virksomheten din mot økonomiske risikoer, og holde markedsføringsresultatene på sporet.