Om Tjenester Butikk Kontakt Artikler Gratis minikurs Logg inn

Hva er cookies (informasjonskapsler) og må du ha samtykke for å bruke dem?

gdpr Dec 20, 2019

GDPR på nettsiden din er ditt ansvar

Etter GDPR, ny personvernforordning, plikter du å informere tydelig om hvordan du behandler personopplysninger på nettstedet ditt (og for øvrig i hele virksomheten din).

Les også: GDPR på nettsider: dette plikter du å informere om

Hvis du bruker et byrå eller får hjelp av en person til det tekniske, er det fortsatt ditt ansvar å sørge for at riktige grep tas.

Du kan ikke skylde på en databehandler eller leverandør om Datatilsynet banker på døren (akkurat som at du heller ikke kan skylde på regnskapsføreren din om du får bokettersyn og en saftig bot fra Skatteetaten – du som daglig leder er fortsatt den som er øverst ansvarlig).

Fortsatt usikker på hva GDPR, ny personvernforordning, er? Da bør du lese dette innlegget: GDPR enkelt forklart for deg som driver en liten bedrift

Hva er cookies/informasjonskapsler?

En «cookie», på norsk «informasjonskapsel», er en liten datamengde som nettleseren din mottar fra nettsider du besøker, og som lagres som en fil på harddisken din. SNL skriver: "En cookie kan inneholde informasjon som brukeren har registrert på siden, for eksempel brukernavn og passord i kryptert form, og som oversendes nettsiden ved påfølgende besøk. På den måten er det ikke nødvendig å registrere informasjonen mer enn én gang."

Cookies kan inneholde mange ulike typer informasjon og kan lagres kun for det ene besøket du gjør, eller i mange år. Du kan fjerne og/eller blokkere slike cookies, les mer om det nedenfor.

Du trenger ikke å skjønne så mye av selve teknologien som ligger i cookies, men du må vite hvilke cookies du har på ditt nettsted, og informere om disse i en personvernerklæring eller cookieerklæring.

Du har sikkert opplevd (mange ganger!) at ting du har søkt på, f.eks. nye joggesko, datamaskin eller ryggsekk, plutselig forfølger deg overalt på nettet. Du ser disse joggeskoene når du går inn på Google for å søke på noe annet, når du skal lese nettavisen eller scroller gjennom nyhetsoppdateringen på Facebook. Det er cookies som gjør dette mulig.

PS: Det er ikke bare cookies du plikter å informere om, men også alle slags verktøy du bruker, f.eks. for analyse (Google Analytics, Hotjar) eller markedsføring (Facebook Pixel, LinkedIn Insights Tag).

Les også: Troverdige kilder du kan stole på i GDPR-arbeidet (og ikke)

Ulike typer cookies/informasjonskapsler

Det finnes flere typer informasjonskapsler og måter å kategorisere dem på. De kan klassifiseres etter varighet, f.eks. at de kun varer for én enkelt økt (sesjonsavhengig/session cookie) eller i et visst antall dager/måneder/år (fast/persistent cookie).

Man kan også snakke om cookies som er strengt nødvendig, altså som  settes i nettleseren din for at nettsiden skal fungere (at du kan se innholdet og/eller utføre visse handlinger), og de som ikke er det. Nedenfor har vi listet opp informasjonskapsler etter ulike formål, altså hva som er hensikten med bruken.

Tekniske/funksjonelle cookies

Noen cookies er nødvendige for at en nettside eller en funksjon på en nettside i det hele tatt skal fungere. Du får f.eks. ikke logget inn i nettbanken, lagt ting i en handlekurv eller gjennomført et nettkjøp uten disse cookiene. Hvis du ikke aksepterer cookiene, får du heller ikke brukt nettsiden/tjenesten.

Noen cookies settes for bedre brukervennlighet, f.eks. så du slipper å logge inn på nytt for hvert besøk (i en nettbasert medlemsportal eller et nettkurs) eller endre innstillinger for hver gang (f.eks. valgt språk, valuta og lignende).

Statistikk-/analysecookies

Andre cookies brukes for å analysere trafikk på eller bruk av en nettside. Google AnalyticsPiwikHotjar og Crazy Egg er verktøy som setter slike cookies, som forklart over.

Markedsføringscookies

Dette er cookies som oftest settes av tredjeparter og der formålet er å målrette annonsering til den besøkende. De kan ofte spore brukere over flere nettsider og kan være ganske «aggressive».

Slike cookies kan sende data til mange flere enn bare en enkelt tredjepart, og hele «ad tech»-bransjen bruker slike typer cookies til å bygge opp omfattende personprofiler (om deg og meg!) på annonsebørser der våre data selges til høystbydende over hele verden. Nå er ikke meningen å skremme deg, men dette markedet er omfattende og betenkelig – og en annen diskusjon. 😉

Slike cookies brukes også av verktøy nevnt over; Facebook PixelLinkedIn Insights TagPinterest Tag med flere. De gjør det mulig å spore besøkende på nettsiden din til disse sosiale plattformene, slik at annonsene du kjører der treffer bedre.

Annonse- og affiliatecookies (sponsede lenker, innhold og annonser)

Annonse- og affiliatecookies er annerledes fra markedsføringscookies fordi de har til hensikt å spore en bruker helt frem til et salg er gjennomført. F.eks. hvis du klikker på en annonse på et nettsted og gjennomfører et kjøp av produktet/tjenesten som var annonsert, vil noen trolig tjene på dette. Det kan være helt uproblematisk, men det skal være tydelig merket.

Bedre Bedrift AS bruker slike cookies i promotering av visse tjenester, f.eks. systemet vi bruker for nettsiden; Kajabi. Vi har egne innlegg der vi promoterer denne tjenesteleverandøren, og har lagt inn «sponsede lenker». Hvis du klikker på en slik lenke tas du til nettsiden til Kajabi. Samtidig settes en cookie i nettleseren din. Denne cookien lagres i nettleseren din i 30 dager, og hvis du kjøper Kajabi innenfor denne tidsperioden, får Bedre Bedrift provisjon av salget. Hvis du sletter cookies sletter du også affiliatecookien (og vi får ingen provisjon av salget).

Igjen, dette er helt uproblematisk så lenge du informerer tydelig om at du bruker affiliatelenker. Vi ser dessverre svært ofte at folk/virksomheter promoterer innhold de får betalt for å promotere. Husk at det verken er lov eller smart – fordi du fremstår som uprofesjonell og kanskje til og med kynisk!

Må du ha samtykke for å bruke cookies?

Cookies som brukes til markedsføringsformål er de som er mest utfordrende både når det gjelder markedsføringsloven og GDPR. Man er nemlig nødt til å ha et såkalt «rettslig grunnlag» for å behandle personopplysninger, inkludert IP-adresser. 

Hvilket rettslig grunnlag som kan brukes, om det er samtykke eller berettiget interesse, er det mye debatt rundt. Flere vil påstå at du er nødt til å innhente samtykke og at du må bruke et samtykkeverktøy (Consent Management Tool) på nettsiden din for å hente de inn.

Våre nasjonale myndigheter for personvern og cookies, hhv. Datatilsynet og Nkom, har nylig endret sine standpunkt rundt bruk av cookies (som behandler personopplysninger) og behov for samtykke. Du kan lese Datatilsynets kommentar her og Nkoms her.

Både Datatilsynet og Nkom har endret formuleringene sine på nettsidene sine flere ganger i løpet av 2019. Foreløpig er det heller ikke en etablert praksis på tvers av EØS.

Cookies og GDPR i Norge er dermed ikke avklart. Vår klare anbefaling til små virksomheter er derfor å vente med å investere i slike verktøy til EU-kommisjonen kommer med en endelig avklaring og det blir en etablert praksis i hele EØS.

Men, hvis du derimot driver en større virksomhet, og særlig innen offentlig sektor, bør dere som minimum gjennomføre en risikovurdering og dokumentere ev. fravalg av samtykkeverktøy.

Uansett er det ingen fasit på dette per i dag, februar 2020, men den kommer nok i løpet av kort tid. 

PS: En annen måte å målrette annonsering på sosiale medier på er å laste opp lister med kontaktinformasjon, f.eks. navn, telefonnummer eller e-postadresser, til annonseringsverktøyene (f.eks. Facebook Ads Manager). Det tar vi ikke for oss her, men vi vil understreke at du trenger et (eksplisitt) samtykke fra hver enkelt person på listen for å dele personopplysningene deres slik.

Les også: GDPR på nettsider: dette plikter du å informere om

Close

Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om mine produkter og tjenester. Jeg lover å ta godt vare på dataene dine og slette de på forespørsel, jfr. personvernerklæringen. Du kan enkelt melde deg av når som helst.