Norske cookie-regler – enkelt og greit

Blogg
Hva er reglene for bruk av cookies i Norge? Og hvordan innhenter du gyldige samtykker til cookies? Her er alt du trenger å vite om cookie-retningslinjene i Norge.
Innholdsfortegnelse

7 enkle steg til å overholde
de norske cookie-reglene:

Norske cookie-retningslinjer - hva er reglene?

Det har vært mye usikkerhet rundt regelverket for bruk av cookies i Norge de siste årene. Det store spørsmålet har vært: Å innhente samtykke til cookies eller ikke. Og hvordan? Forvirringen har kommet fra tolkningen av den nasjonale Lov om elektronisk kommunikasjon (EKOM) og hvorvidt GDPR gjelder for norske nettsteder. Men etter EU-domstolen i 2019 avga dommen i saken mot det tyske lotteri-nettstedet Planet49 og deres cookie-bannerpraksis, erklærte Nasjonal kommunikasjonsmyndighet (NKOM):
  • Dersom du bruker cookies som innhenter besøkendes personlige informasjon, er du pålagt å innhente et GDPR-gyldig samtykke
Her er hvordan det virker. Det finnes to sentrale lover for bruk av cookies i Norge:
  • Lov om elektronisk kommunikasjon (EKOM)
  • General Data Protection Regulation (GDPR)
Hvilken du skal bruke avhenger av om de ulike cookies du bruker innhenter dine brukeres personlige informasjon eller ikke. Se på det på denne måten:
Den nyeste anbefalingen fra Nasjonal kommunikasjonsmyndighet (NKOM) er:

3 enkle tips fra NKOM

Men hva sier egentlig EKOM og GDPR om cookies i Norge?

EKOM - Lov om elektronisk kommunikasjon

Den nasjonale loven om bruk av cookies i Norge kommer fra Ekomloven § 2-7b “Bruk av informasjonskapsler/cookies.” Den sier:

Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette.

Første punktum er ikke til hinder for teknisk lagring av eller adgang til opplysninger:

  1. utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett
  2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel.

Hva det faktisk betyr er:
Du er pålagt å informere brukerne om cookies du bruker, og brukerne må avgi deres samtykke
Du trenger ikke samtykke til:
  • teknisk nødvendige cookies (som er nødvendige for at ditt nettsted skal fungere (handlekurv cookies, cookies for innlogging osv.).
  • tilgang til informasjon som brukeren eksplisitt har forespurt.
Loven gjelder for bruk av cookies, dvs. oppbevaring av informasjon, og få tilgang til informasjon gjennom cookies på nettstedets besøkendes datamaskin eller smarttelefon. Det er derfor et krav at ditt nettsteds besøkende har gitt samtykke til bruk av dine cookies. I følge NKOM kan et samtykkes gis av nettstedets besøkende ved å enten bruke en teknisk innstilling inni browseren (akseptere eller avvise alle cookies) eller gjennom en cookie samtykke pop-up. Men for at et cookie samtykke skal være gyldig i henhold til EKOM, må det inneholde tydelig informasjon om følgende:
  • hvilke cookies du bruker.
  • hvilken informasjon/data de innhenter og behandler.
  • til hvilket formål dataen behandles.
  • hvem som behandler informasjonen (hvem dine cookies deles med).

Tracking cookies - NKOM anbefaler GDPR-gyldig samtykke

Ting blir litt annerledes når vi snakker om tracking cookies. Dersom cookies du bruker kategoriseres som tracking cookies, dvs. at de innhenter dine brukeres personlige informasjon som enten behandles av deg eller en tredjepart (f.eks., Google, Facebook, Amazon, Hotjar osv.), anbefaler NKOM at du alltid innhenter samtykker til cookies i henhold til GDPR-standarder. Dette ble kunngjort av NKOM i november 2019. Her er hva de sa:

NKOM vil vurdere behovet for justeringer av regelverket som følge av utviklingen. I mellomtiden er det viktig å merke seg at dersom det finnes tvil om at kravene i personopplysningsloven er møtt, skal en velge samtykke etter personopplysningsloven (samtykke i henhold til GDPR) for å være på den sikre siden.

Det samme gjelder dersom du er ansvarlig for et nettsted som også er rettet mot andre europeiske land.

Men hva er reglene for samtykke under GDPR?

The General Data Protection Regulation (GDPR)

GDPR handler om databehandling og hvordan man skal håndtere personopplysninger. Selv om begrepet “cookie” kun nevnes én gang i GDPR, handler GDPR om all data de fleste cookies innhenter. Spesielt når det gjelder tracking cookies eller andre tracking teknologier som fingeravtrykk, pixler eller web beacons. Når man bruker cookies som innhenter dine brukeres personlige informasjon for videre behandling, er du pålagt å innhente et GDPR-gyldig samtykke.
Dersom du bruker tracking cookies, gjelder reglene for samtykke i GDPR

GDPR og cookies - Hva betyr det for deg?

Hvis du bruker cookies på ditt nettsted eller app satt opp av deg eller en tredjepartstjeneste som:
  • Google (f.eks., Analytics)
  • Facebook
  • YouTube
  • TikTok
  • Amazon
  • og mange flere..
og disse cookies innhenter dine brukeres personlige informasjon som:
  • Bruker-ID
  • Cookie-ID
  • IP-adresse
  • Geografisk informasjon
  • Annen nett-ID
med et formål om å vise målrettede annonser på tvers av internett, er du pålagt å innhente et GDPR-gyldig cookie samtykke (med en cookie-banner).

Hvordan innhente gyldige samtykker til cookies i Norge?

For å overholde de norske cookie-retningslinjene og GDPR ved bruk av cookies på ditt nettsted, sørg for at du alltid innhenter gyldige samtykker.
Her er hvordan du gjør det:
  • Informer dine brukere om cookies du bruker basert på på en skanning av ditt nettsted.
  • Be dine brukere om tillatelse til bruk av cookies (samtykke). Dette kan gjøres med en cookie samtykke pop-up.
  • Respekter deres valg (hvis de avviser cookies). Du kan forhindre at dine cookies aktiveres.
  • Gi dine brukere en enkel mate å kunne tilbaketrekke eller endre deres samtykke. Dette kan du enkelt gjøre ved å legge ved en lenke for å kunne gjenåpne samtykke pop-up.
  • Gjør det enkelt for dine brukere å finne informasjon om dine cookies og hvilke data de innhenter. Veiled dem til din cookie-policy med en lenke i din cookie samtykke pop-up.
  • Gjør innholdet tydelig og detaljert (spesifikt). Dette kan du gjøre med cookie controller i din cookie pop-up, slik at brukerne kan akseptere eller avvise etter formål (markedsføring, statistikk, funksjonelle).
  • Oppbevar dine brukeres samtykker i 5 år. Din Samtykke Management Plattform gjør dette for deg. Hvis det er en god en.
Du kan innhente gyldige samtykker til cookies med en profesjonell Samtykke Management Plattform. Du får en cookie samtykke pop-up som ser omtrent slik ut:
Eksempel på Cookie Information's GDPR-kompatibel cookie samtykke pop-up. Pop-upen informerer brukerne om cookies, gir et detaljert (spesifikt) samtykke og en 'Avvis'-knapp ved siden av 'Aksepter'-knappen. Samtykke er like enkelt å avgi som å avvise, og følger GDPR-standardene.
En profesjonell Samtykke Management Plattform og en samtykke pop-up som innhenter gyldige samtykker, vil sørge for at ditt nettsted alltid overholder norske cookie-retningslinjer, EKOM og GDPR.
Du kan alltid kontakte oss dersom du har noen spørsmål om hvordan man får en cookie-banner på ditt nettsted eller app som overholder GDPR.

FAQ om cookies og samtykke i Norge

[Q] – Vi bruker ikke cookies på vårt nettsted! [A] – De fleste nettsteder bruker cookies. Disse er enten teknisk nødvendige cookies for å ha et velfungerende nettsted (f.eks., huske språkinnstillinger, innstillinger for innlogging, handlekurv cookies), eller cookies satt opp på ditt nettsted gjennom ulike tjenester du bruker slik som Google Analytics, Facebook, Instagram, LinkedIn, Hotjar osv. [Q] – Vårt nettsted verken innhenter – eller behandler – noe personlig data! [A] – Kanskje ikke, men tredjeparter som Google Analytics, Facebook, Hotjar, Amazon gjør! Hvis du bruker en tredjepartstjeneste som setter opp cookies gjennom ditt nettsted, er du datakontrolløren (i henhold til GDPR), og innhenting av gyldig samtykke ved bruk av disse cookies er derfor ditt ansvar. [Q] – Kan vi bruke Google Analytics uten samtykke? [A] – Nei. Google Analytics bruker flere cookies som innhenter dine besøkendes personlige informasjon, som videre brukes for å gi deg innsikt i brukerne, anskaffelse og atferd. Dette er mulig på grunn av cookies som tracker brukeren på tvers av nettstedet. Dersom du bruker Google Analytics er du pålagt å innhente GDPR-gyldig samtykke til cookies. [Q] – Hva er teknisk nødvendige cookies? [A] – Teknisk nødvendige cookies er avgjørende for at besøkende skal kunne bruke nettstedet og dets funksjoner. Dette kan være funksjoner for innlogging og bruk av handlekurv cookies (slik at informasjonen ikke mistes når brukeren klikker seg ut av en spesifikk side). Teknisk nødvendige cookies gjelder dessverre ikke Google Analytics. [Q] – Hvordan vet jeg om mitt nettsted overholder GDPR ved bruk av cookies? [A] – Dette kan sjekkes. Av en Samtykke Management Plattform – slik som Cookie Information – som raskt og enkelt kan vurdere om ditt nettsted bruker cookies det ikke er innhentet gyldig samtykke for. Få en gratis compliance-sjekk her med Cookie Information, uten noen forpliktelser.