Om Tjenester Butikk Kontakt Artikler Småbedriftspakka Logg inn

Hva er cookies (informasjonskapsler) og må du ha samtykke for å bruke dem?

gdpr Dec 20, 2019

GDPR på nettsiden din er ditt ansvar

Etter GDPR, ny personvernforordning, plikter du å informere tydelig om hvordan du behandler personopplysninger på nettstedet ditt (og for øvrig i hele virksomheten din).

Les også: GDPR på nettsider: dette plikter du å informere om

Hvis du bruker et byrå eller får hjelp av en person til det tekniske, er det fortsatt ditt ansvar å sørge for at riktige grep tas.

Du kan ikke skylde på en databehandler eller leverandør om Datatilsynet banker på døren (akkurat som at du heller ikke kan skylde på regnskapsføreren din om du får bokettersyn og en saftig bot fra Skatteetaten – du som daglig leder er fortsatt den som er øverst ansvarlig).

Hvis du allerede vet hva cookies er kan du bla deg helt ned for å lese om du trenger samtykke for å bruke dem. 👇

Fortsatt usikker på hva GDPR, ny personvernforordning, er? Da bør du lese dette innlegget: GDPR enkelt forklart for deg som driver en liten bedrift

Hva er cookies/informasjonskapsler?

En «cookie», på norsk «informasjonskapsel», er en liten datamengde som nettleseren din mottar fra nettsider du besøker, og som lagres som en fil på harddisken din.

SNL skriver: "En cookie kan inneholde informasjon som brukeren har registrert på siden, for eksempel brukernavn og passord i kryptert form, og som oversendes nettsiden ved påfølgende besøk. På den måten er det ikke nødvendig å registrere informasjonen mer enn én gang."

Cookies kan inneholde mange ulike typer informasjon og kan lagres kun for det ene besøket du gjør, eller i mange år. Du kan fjerne og/eller blokkere slike cookies, les mer om det nedenfor.

Du trenger ikke å skjønne så mye av selve teknologien som ligger i cookies, men du må vite hvilke cookies du har på ditt nettsted, informere om disse i en personvernerklæring eller cookieerklæring og ev. innhente samtykke til bruk.

Les også: GDPR: Trenger du egentlig en personvernerklæring?

Du har sikkert opplevd (mange ganger!) at ting du har søkt på, f.eks. nye joggesko, datamaskin eller ryggsekk, plutselig forfølger deg overalt på nettet. Du ser disse joggeskoene når du går inn på Google for å søke på noe annet, når du skal lese nettavisen eller scroller gjennom nyhetsoppdateringen på Facebook. Det er cookies som gjør dette mulig.

PS: Det er ikke bare cookies du plikter å informere om, men også alle slags verktøy du bruker, f.eks. for analyse (Google Analytics, Hotjar) eller markedsføring (Facebook Pixel, LinkedIn Insights Tag).

Ulike typer cookies/informasjonskapsler

Det finnes flere typer informasjonskapsler og måter å kategorisere dem på. De kan klassifiseres etter varighet, f.eks. at de kun varer for én enkelt økt (sesjonsavhengig/session cookie) eller i et visst antall dager/måneder/år (fast/persistent cookie).

Man kan også snakke om cookies som er strengt nødvendig, altså som  settes i nettleseren din for at nettsiden skal fungere (at du kan se innholdet og/eller utføre visse handlinger), og de som ikke er det. Nedenfor har vi listet opp informasjonskapsler etter ulike formål, altså hva som er hensikten med bruken.

Tekniske/funksjonelle cookies

Noen cookies er nødvendige for at en nettside eller en funksjon på en nettside i det hele tatt skal fungere. Du får f.eks. ikke logget inn i nettbanken, lagt ting i en handlekurv eller gjennomført et nettkjøp uten disse cookiene. Hvis du ikke aksepterer cookiene, får du heller ikke brukt nettsiden/tjenesten.

Noen cookies settes for bedre brukervennlighet, f.eks. så du slipper å logge inn på nytt for hvert besøk (i en nettbasert medlemsportal eller et nettkurs) eller endre innstillinger for hver gang (f.eks. valgt språk, valuta og lignende).

Statistikk-/analysecookies

Andre cookies brukes for å analysere trafikk på eller bruk av en nettside. Google AnalyticsPiwikHotjar og Crazy Egg er verktøy som setter slike cookies, som forklart over.

Markedsføringscookies

Dette er cookies som oftest settes av tredjeparter og der formålet er å målrette annonsering til den besøkende. De kan ofte spore brukere over flere nettsider og kan være ganske «aggressive».

Slike cookies kan sende data til mange flere enn bare én enkelt tredjepart, og en rekke aktører bruker dette til å bygge opp omfattende personprofiler som igjen selges til høystbydende over hele verden. Les mer om personprofilering på det digitale annonsemarkedet hos Datatilsynet.

Slike cookies brukes også av verktøy nevnt over; Facebook PixelLinkedIn Insights TagPinterest Tag med flere. De gjør det mulig å spore besøkende på nettsiden din til disse sosiale plattformene, slik at annonsene du kjører der treffer bedre.

Les også: Troverdige kilder du kan stole på i GDPR-arbeidet (og ikke)

Annonse- og affiliatecookies (sponsede lenker, innhold og annonser)

Annonse- og affiliatecookies er annerledes fra markedsføringscookies fordi de har til hensikt å spore en bruker helt frem til et salg er gjennomført. F.eks. hvis du klikker på en annonse på et nettsted og gjennomfører et kjøp av produktet/tjenesten som var annonsert, vil noen trolig tjene på dette. Det kan være helt uproblematisk, men det skal være tydelig merket.

Bedre Bedrift AS bruker slike cookies i promotering av visse tjenester, f.eks. systemet vi bruker for nettsiden; Kajabi. Vi har egne innlegg der vi promoterer denne tjenesteleverandøren, og har lagt inn «sponsede lenker». Hvis du klikker på en slik lenke tas du til nettsiden til Kajabi. Samtidig settes en cookie i nettleseren din. Denne cookien lagres i nettleseren din i 30 dager, og hvis du kjøper Kajabi innenfor denne tidsperioden, får Bedre Bedrift provisjon av salget. Hvis du sletter cookies sletter du også affiliatecookien (og vi får ingen provisjon av salget).

Igjen, dette er helt uproblematisk så lenge du informerer tydelig om at du bruker affiliatelenker. Vi ser dessverre svært ofte at folk/virksomheter promoterer innhold de får betalt for å promotere. Husk at det verken er lov eller smart – fordi du fremstår som uprofesjonell og kanskje til og med kynisk!

Må du ha samtykke for å bruke cookies?

I februar 2020 publiserte Forbrukertilsynet og Datatilsynet en ny veileder om digitale tjenester og forbrukeres personopplysninger (lenke). Og kortversjonen er at ved bruk av cookies må du kjenne til og eventuelt følge tre lovverk:

  1. Ved bruk av (hvilken som helst type) cookies må du forholde deg til ekomloven, og opplyse om denne bruken (beskrive type cookie, formål og varighet)
  2. Hvis du samler inn personopplysninger via cookies, må du også følge personopplysningsloven og dermed ha et rettslig grunnlag for denne behandlingen - avhengig av type cookie kan dette være berettiget interesse eller samtykke (for bedrifter)
  3. Hvis du bruker markedsføringscookies og/eller cookies til personalisering, må du i tillegg følge markedsføringsloven

Teknologiadvokat Jan Sandtrø har en fin oversikt over dette på sin nettside her.

Hvis du driver med markedsføring bør du lese gjennom hele veilederen.

Det danske datatilsynet kom også med nye retningslinjer i februar, der det fremkommer tydelig at du må ha et rettslig grunnlag etter GDPR hvis du behandler personopplysninger på nettsiden din (lenke).

For bruk av berettiget interesse må du gjøre en vurdering, inkludert en "balansetest", og dokumentere denne. For bruk av samtykke må du følge alle kravene etter GDPR (og ev. markedsføringsloven), blant annet at det er frivillig, informert, spesifikt, aktivt avgitt, dokumenterbart, mulig å trekke tilbake, og ikke blandet med annen informasjon (f.eks. vilkår).

De fleste vil ta i bruk et samtykkeverktøy, Consent Management Tool, til å hente inn og administrere samtykker på nettsiden sin. Eksempler på slike verktøy er CookieBot og Cookie Information.

NB! Pass på at personvernerklæringen din faktisk inneholder alle nødvendige punkter som skal være med etter GDPR. Slik vår mal for personvernerklæring har her.

PS: En annen måte å målrette annonsering på sosiale medier på er å laste opp lister med kontaktinformasjon, f.eks. navn, telefonnummer eller e-postadresser, til annonseringsverktøyene (f.eks. Facebook Ads Manager). Det tar vi ikke for oss her, men vi vil understreke at du ikke kan gjøre dette uten et rettslig grunnlag for slik behandling av personopplysninger.

Les også: GDPR på nettsider: dette plikter du å informere om

Close

Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om mine produkter og tjenester. Jeg lover å ta godt vare på dataene dine og slette de på forespørsel, jfr. personvernerklæringen. Du kan enkelt melde deg av når som helst.