Så här följer du cookie-lagen i 10 steg

Blogg
En av Europas ledande integritetsexperter förklarar vad som krävs för att följa “cookie-lagen”.
Innehållsförteckning
Porträttfoto på Aurélie Pols, expert i etik och integritets ingenjör. Hur följer man cookie-lagen steg för steg.

Aurélie Pols är integritetsingenjör och expert i etik. Hon sitter som styrelsemedlem i ECPC, som är det europeiska centret för privacy och cybersäkerhet med säte på universitetet i Maastricht där hon också undervisar i kurser på juristutbildningen (LLM) och utbildningen för dataskyddsombud (DPO).

Pols är därutöver expertmedlem i EU-kommissionens Observatory for the Online Platform Economy. Och som om inte det vore nog driver hon ett företag, med säte i Spanien, i vilket hon stöttar upp som integritetsingenjör i business to business-miljöer, och samarbetar med experter globalt för att hjälpa företag och organisationer att leva upp till GDPR, ePrivacy och annan inkommande privacy-lagstiftning från EU.

Om du vill förstå hela den nakna – manuella – processen att bli så “cookie-compliant” som möjligt, finns det få som kan klargöra stegen så grundligt som Aurélie Pols. Här följer hennes ramverk för att följa cookie-lagen.

Ett ramverk för cookies i 10 steg

Ett ramverk för cookie-compliance i tio steg. En illustration: rektangel med många cookies/kakor som täcker den som på en skärm. Artikeln handlar om hur du blir cookie-compliant den hårda vägen. Manuellt.

1. Vad äger och ansvar du för?

För att följa cookie-lagen måste du börja från början.

Gör en lista på dina digitala tillgångar, börja med dina webbplatser, om du har fler än en. Om du sitter på ett större företag kan kontrollen över olika domäner ligga i olika händer, från den tekniska chefen, “webbkillen” eller “webbtjejen” till någon på HR. Aurélie Pols rekommenderar att ansvaret centraliseras.

Kom ihåg att allt som glimmar inte är webbplatser. Har företaget andra digitala tillgångar? Till exempel landningssidor i andra verktyg än dess huvudsakliga innehållshanteringssystem (CMS)? Lista dessa också.

Och du, glöm inte bort mobila applikationer. En mobilapplikation kan vara byggd på olika sätt, men när man bygger en renodlad applikation så använder man ofta olika SDK:er –software developer kits. Därför är det viktigt att syna dessa SDK:er, så man förstår vilken data som samlas in i bakgrunden.

2. Skanna dina webbplatser och applikationer.

För att förstå vad du har för spårningsmekanismer på dina webbplatser behöver du nyttja en skanner som kan gå igenom sidorna och applikationerna.

Det finns olika att välja på marknaden. Det är vanligt att deras resultat kan skilja sig åt. Häng inte upp dig på det, säger Aurélie Pols, och förklarar att de inte går att bli helt hundra här. Men det viktiga är ATT du gör detta – för att följa cookie-lagen.

3. Vilka processer och tjänster vill du behålla?

Sätt dig med marknadschefen (om det inte är du) och gå igenom listan av verktyg/tjänster och cookies som de genererar. Fråga er vilka ni använder och vilka ni vill behålla.

4. Hitta avtalen till tjänsterna.

För att följa cookie-lagen behöver du förstå villkoren för de tjänster du använder på din webbplats och därmed varför de placerar cookies. Få koll på det genom att hitta avtalen som hör ihop med respektive tjänst. Tänk på att kakor möjliggör dataprocessande vilket gör dig, eller den person på företaget som har ansvar för datafrågorna, till data-processor när du låter en tjänst köra i gång på din webbplats. Så var det inte innan GDPR.

5. Rensa bort koden från tjänsterna som du inte längre vill använda.

De tjänster du inte längre använder eller vill använda har placerat kod på dina webbplatser. Rensa bort dem.

6. Skapa en cookie-policy.

Nu är det dags att sammanställa din cookie-policy där du radar upp alla cookies, och anger dess härstamning (vendor), vad de gör och hur länge de varar, samt länk till respektive cookie-placerande tjänsts integritetspolicy.

För att följa cookie-lagen är det viktigt att datumstämpla cookie-policyn eftersom den behöver uppdateras med jämna mellanrum. Varje uppdaterad cookie-policy måste datum-stämplas. Den äldre versionen måste arkiveras.

Placera cookie-policyn I anslutning till din integritetspolicy (privacy-policy). 

7. Klassificera alla cookies.

Varje kaka behöver kategoriseras. Den stora gränsdragningen ska du göra mellan de strikt nödvändiga kakorna och de som inte är det. Detta eftersom de förstnämnda inte behöver något samtycke för att användas. Alla andra kakor behöver besökaren eller användaren ge sitt samtycke till innan du får lov att “sätta i gång dom”.

Den reglering som i huvudsak styr hur du får använda cookies är ePrivacy-direktivet. Till skillnad från GDPR ger ePrivacy bara en (1) grund för tillåtelse att samla in och behandla data, och det är samtycke.

8. Sätt upp ett system som frågar varje besökare om samtycke.

När du vet vilka cookies du behöver be besökarna om samtycke för kan du börja be varje besökare om samtycke.

Notera att en del kakor kan vara kluriga att kategorisera. I Belgien råder det till exempel en diskussion kring huruvida så kallade språk-cookies behöver samtycke.

9. Få på plats en process för vilka tjänster som används.

Få upp en enkel process som ser till att marknadsavdelningen inte använder cookie-placerande-tjänster eller verktyg på webbplatsen utan att den först granskats utifrån ett säkerhets- och integritets-perspektiv. Det beror bland annat på att varje data-behandlande verktyg du använder måste leva upp till artikel 28 i GDPR.

Det är således a och o att fråga om samtycke för de kakor som dina tjänster ämnar placera, men du måste också vara om dig och kring dig gällande vilka tjänster du väljer att använda.

Tänk på att olika verktyg eller tjänster, som till exempel Facebook-pixeln, ofta kan göra olika saker. Det är viktigt att förstå hur verktygen fungerar och vilka inställningar du måste göra för att de ska fungera på ett lagenligt sätt. Och inställningarna i sig kan ändra hur verktygets cookies ska klassificeras/kategoriseras i cookie-policyn.

10. Revidera minst en gång per år.

Skanna din sida minst en gång per år, och uppdatera cookie-policyn och arkivera den gamla – regelbundet.

Automatisera cookie-processen

MED EN PLATTFORM* SOM ...

  • ... skannar dina webbplatser och appar, regelbundet.
  • ... kategoriserar alla cookies.
  • ... gör all information om respektive cookie som du använder på din webbplats lättåtkomlig för besökaren.
  • ... länkar till respektive tjänsts cookie-policy.
  • ... skapar och håller cookie-policyn uppdaterad, regelbundet.
  • ... frågar varje besökare om ett ja eller nej till cookies – på ett lagenligt sätt. Respekterar deras svar.
  • ... sparar alla samtyckena så du klarar en granskning.

*Cookie Informations Consent Management Platform

PROVA GRATIS I 30 DAGAR