Cookie-policy Norge

Cookie-policy i Norge er et offentlig dokument der en nettstedoperatør informerer besøkende om bruken av informasjonskapsler (cookies) og lignende sporingsteknologi. Dokumentet oppfyller kravene i ekomloven (2003) § 2-7b, som gjennomfører ePrivacy-direktivet (2002/58/EF med endringer), og i personvernforordningen (GDPR) artikkel 7 om gyldig samtykke, som gjelder i Norge gjennom EØS-avtalen. Datatilsynet fører tilsyn med etterlevelsen av regelverket for informasjonskapsler.

En informasjonskapsel er en liten tekstfil som lagres på brukerens enhet av nettleseren. Informasjonskapsler har mange formål: de kan huske innloggingsstatus og innholdet i handlekurven (nødvendige informasjonskapsler), de kan brukes til å analysere nettstedtrafikk og forstå brukeradferd (statistikkinformasjonskapsler), eller de kan brukes til å spore brukeren på tvers av nettsteder for å vise målrettede annonser (markedsføringsinformasjonskapsler). Den rettslige behandlingen av de ulike kategoriene er svært forskjellig.

Hovedregelen i ekomloven (2003) § 2-7b er at det kreves informert samtykke fra brukeren før informasjonskapsler lagres på eller leses fra brukerens utstyr. Unntaket gjelder informasjonskapsler som er strengt nødvendige for å levere en tjeneste brukeren uttrykkelig har bedt om, for eksempel informasjonskapsler som husker innholdet i en handlekurv eller sikrer innlogging. For alle andre informasjonskapsler kreves aktivt samtykke.

Samtykket etter personvernforordningen (GDPR) artikkel 7 skal være frivillig, spesifikt, informert og utvetydig. Forhåndsavkryssede bokser og inaktivitet som standarinnstilling godtas ikke. Banneret må gjøre det like enkelt å avvise som å akseptere informasjonskapsler. Datatilsynet og EU-personvernrådet (EDPB) har understreket at «mørke mønstre» (dark patterns) som manipulerer brukere til å akseptere informasjonskapsler, ikke gir gyldig samtykke.

Cookie-policyen er et element i nettstedets personverninfrastruktur. Den kan enten integreres i personvernerklæringen eller utgjøre et separat dokument. Cookie-policyen bør gi brukerne klar informasjon om hvilke informasjonskapsler som brukes, til hvilke formål, hvem som setter dem (egne eller tredjeparts), og hvor lenge de lagres. I tillegg bør policyen informere om samtykkehåndteringen og om hvordan brukerne kan endre eller trekke tilbake samtykket.

Forskjellene mot beslektede dokumenter er vesentlige. Cookie-policyen informerer om informasjonskapsler og samtykke, mens personvernerklæringen gir bredere informasjon om all behandling av personopplysninger etter personvernforordningen (GDPR) artiklene 13 og 14. Databehandleravtalen regulerer forholdet mellom behandlingsansvarlig og tredjeparts leverandører av informasjonskapsler. Det videre forms-legal.com biblioteket inneholder maler for alle disse dokumentene.

Cookie-policy i Norge trengs av alle nettsteder som bruker informasjonskapsler eller lignende sporingsteknologi utover de strengt nødvendige. Plikten til å informere om informasjonskapsler og til å innhente samtykke følger av ekomloven (2003) § 2-7b.

Nettbutikker og netthandel. Alle nettbutikker bruker informasjonskapsler til en rekke formål: nødvendige informasjonskapsler for handlekurv og innlogging, analyseinformasjonskapsler som Google Analytics for å forstå kundeatferd, og markedsføringsinformasjonskapsler for retargeting og konverteringssporing. En cookie-policy er obligatorisk, og samtykke må innhentes for alle informasjonskapsler utover de strengt nødvendige etter ekomloven (2003) § 2-7b.

Nettsteder med Google Analytics eller andre analyseverktøy. Bruken av Google Analytics, Adobe Analytics og lignende analyseverktøy innebærer bruk av tredjeparts informasjonskapsler og overføring av data til USA. En cookie-policy som beskriver dette og som innhenter samtykke, er nødvendig. Datatilsynet og østerrikske, franske og tyske tilsynsmyndigheter har konkludert med at standard bruk av Google Analytics uten tilstrekkelig tilpasning kan være i strid med personvernregelverket ved overføring til USA uten tilstrekkelig rettslig grunnlag.

Nettsteder med sosiale medier-integrasjoner. Bruk av Facebook-piksel, Google Ads-sporing, LinkedIn Insight Tag og tilsvarende tredjepartsintegrasjoner innebærer bruk av markedsføringsinformasjonskapsler som setter cookies fra tredjeparter på brukerens enhet. En cookie-policy som beskriver disse integrasjonene og innhenter samtykke, er obligatorisk etter ekomloven (2003) § 2-7b.

Nettsteder med betalingstjenester og innebygde tredjepartsfunksjoner. Innebygde elementer som betalingsknapper, kart, videoer og kommentarseksjoner fra tredjeparter kan sette informasjonskapsler uten at nettstedoperatøren er klar over det. Cookie-policyen bør lage opp alle tredjepartsleverandører og deres informasjonskapsler etter ekomloven.

Offentlige nettsteder og myndighetsnettsteder. Offentlige etater, kommuner og departementer som driver nettsteder med statistikk- eller analyseinformasjonskapsler, har de samme pliktene etter ekomloven (2003) § 2-7b som private aktører. Offentlige nettsteder må ha en cookie-policy og innhente samtykke for ikke-nødvendige informasjonskapsler. Datatilsynet har rett til å føre tilsyn med offentlige virksomheter på lik linje med private.

Nettsteder med nyhetsbrev og e-postmarkedsføring. Bruk av tredjepartsverktøy som Mailchimp eller HubSpot for e-postmarkedsføring innebærer som regel bruk av sporingspiksel i e-poster og informasjonskapsler på nettstedet for å spore konverteringer. En cookie-policy som beskriver dette og innhenter samtykke, er nødvendig.

Nettsteder med tilpasset innhold og A/B-testing. Bruk av verktøy for A/B-testing, personalisering av innhold og brukerreisesporing innebærer behandling av brukerdata via informasjonskapsler. Disse verktøyene krever samtykke etter ekomloven (2003) § 2-7b og en cookie-policy som beskriver bruken og gir brukerne mulighet til å takke nei.

En komplett Cookie-policy Norge inneholder følgende nøkkelelementer for å oppfylle kravene i ekomloven (2003) § 2-7b, personvernforordningen (GDPR) artikkel 7 og ePrivacy-direktivet.

Hva er informasjonskapsler. Cookie-policyen bør forklare hva informasjonskapsler er på en klar og forståelig måte etter personvernforordningen (GDPR) artikkel 12 nr. 1. En god forklaring beskriver at en informasjonskapsel er en liten tekstfil som lagres på brukerens enhet, at den kan ha ulik varighet (økt-informasjonskapsler versus permanente informasjonskapsler), og at lignende teknologier som web-beacons og HTML5-lagring kan brukes til beslektede formål.

Kategorier av informasjonskapsler. Cookie-policyen skal beskrive alle kategorier av informasjonskapsler som brukes på nettstedet: (a) nødvendige informasjonskapsler som ikke krever samtykke etter ekomloven (2003) § 2-7b, for eksempel øktinformasjonskapsler, CSRF-tokens og innlogging; (b) statistikk- og analyseinformasjonskapsler som krever samtykke, for eksempel Google Analytics; og (c) markedsføringsinformasjonskapsler som krever samtykke, for eksempel Meta Pixel og Google Ads. For hver kategori bør policyen angi leverandør, formål, navn på informasjonskapselen og varighet.

Samtykke og samtykkehåndtering. Cookie-policyen skal beskrive samtykkemekanismen, typisk et samtykkebanner som vises ved første besøk. Samtykket etter personvernforordningen (GDPR) artikkel 7 skal være frivillig, spesifikt, informert og utvetydig. Det skal være like enkelt å avvise som å akseptere. Policyen skal opplyse om at samtykket kan trekkes tilbake når som helst, og beskrive hvordan brukeren kan gjøre dette, for eksempel via cookie-innstillinger på nettstedet eller via nettleserinnstillinger.

Tredjeparter og overføring til tredjeland. Cookie-policyen skal angi alle tredjepartsleverandører av informasjonskapsler, herunder Google LLC, Meta Platforms Inc. og LinkedIn Corporation. Der opplysninger overføres til land utenfor EØS, for eksempel USA, skal overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49 angis, for eksempel EU–US Data Privacy Framework eller EU-kommisjonens standard personvernbestemmelser.

De registrertes rettigheter. Cookie-policyen skal informere om de registrertes rettigheter etter personvernforordningen (GDPR) kapittel 3 der informasjonskapslene innebærer behandling av personopplysninger, herunder innsynsrett etter artikkel 15, rett til retting etter artikkel 16, rett til sletting etter artikkel 17, rett til begrensning etter artikkel 18, rett til dataportabilitet etter artikkel 20 og rett til å protestere etter artikkel 21. Disse elementene utfyller forms-legal.com bibliotekets maler for personvern.

Klageadgang til Datatilsynet. Cookie-policyen bør informere om at brukeren kan klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 og personopplysningsloven (2018) dersom vedkommende er misfornøyd med nettstedets håndtering av informasjonskapsler. Datatilsynets vedtak kan påklages til Personvernnemnda.

Oppdateringsdato og versjonskontroll. Cookie-policyen bør angi dato for siste oppdatering. Policyen bør gjennomgås og oppdateres ved endringer i nettstedets bruk av informasjonskapsler, ny lovgivning eller ny praksis fra Datatilsynet eller EU-domstolen.

Å fylle ut en Cookie-policy Norge korrekt krever at man følger trinnene nedenfor, slik at policyen oppfyller kravene i ekomloven (2003) § 2-7b og personvernforordningen (GDPR).

Trinn 1 — Identifiser alle informasjonskapsler på nettstedet. Gjennomfør en kartlegging av alle informasjonskapsler nettstedet bruker, inkludert tredjeparts informasjonskapsler fra analyseverktøy, markedsføringspikslere og sosiale medieintegrasjoner. Bruk et cookie-skanningsverktøy for å avdekke informasjonskapsler du kanskje ikke er klar over. Kjenne til leverandør, formål, navn og varighet for alle informasjonskapsler.

Trinn 2 — Angi virksomhetens navn og organisasjonsnummer. Oppgi virksomhetens fulle navn slik det fremgår av Foretaksregisteret, organisasjonsnummer (ni sifre) og nettstedets domenenavn. Klare identifikasjonsopplysninger er viktige for at brukerne vet hvem som er behandlingsansvarlig.

Trinn 3 — Oppgi kontaktadresse for personvernspørsmål. Angi e-postadressen der brukere kan henvende seg med spørsmål om informasjonskapsler og personvern. Dersom virksomheten har et personvernombud etter personvernforordningen (GDPR) artikkel 37, bør ombudets kontaktopplysninger angis.

Trinn 4 — Beskriv nødvendige informasjonskapsler. Beskriv de informasjonskapsler som er strengt nødvendige for nettstedets funksjon, med navn, leverandør (egne systemer) og varighet. Nødvendige informasjonskapsler krever ikke samtykke etter ekomloven (2003) § 2-7b, men bør likevel beskrives i policyen for transparensens skyld.

Trinn 5 — Beskriv statistikk- og analyseinformasjonskapsler. Beskriv analyseinformasjonskapsler med navn, leverandør (for eksempel Google LLC), formål og varighet. Samtykke er obligatorisk for disse. Angi at de bare settes etter gyldig samtykke etter ekomloven (2003) § 2-7b.

Trinn 6 — Beskriv markedsføringsinformasjonskapsler. Beskriv markedsføringsinformasjonskapsler og piksler med navn, leverandør, formål og varighet. Samtykke er obligatorisk. Angi overføringsgrunnlag for opplysninger som overføres til USA eller andre land utenfor EØS.

Trinn 7 — List opp tredjepartsleverandører og overføringsgrunnlag. List opp alle tredjepartsleverandører med navn, land og formål. Angi overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49 for leverandører utenfor EØS, for eksempel EU–US Data Privacy Framework for amerikanske leverandører.

Trinn 8 — Beskriv samtykkehåndteringen. Beskriv samtykkebanneret og samtykkeplattformen som benyttes. Angi at brukeren kan endre eller trekke tilbake samtykket når som helst via cookie-innstillingene på nettstedet. Samtykket etter personvernforordningen (GDPR) artikkel 7 skal være like enkelt å trekke tilbake som å gi.

Trinn 9 — Publiser policyen og sett opp samtykkebanneret. Gjør cookie-policyen lett tilgjengelig, typisk i bunnteksten på alle sider og via samtykkebanneret. Sett opp samtykkebanneret slik at ikke-nødvendige informasjonskapsler bare settes etter aktivt samtykke, og at det er like enkelt å avvise som å akseptere.

Cookie-policy Norge er regulert av ekomloven (2003) § 2-7b, personvernforordningen (GDPR) og ePrivacy-direktivet, som til sammen fastsetter kravene til samtykke og informasjon om informasjonskapsler.

Ekomloven (2003) § 2-7b. Den sentrale hjemmelen for kravet om samtykke til informasjonskapsler i Norge er ekomloven om elektronisk kommunikasjon, § 2-7b. Bestemmelsen gjennomfører ePrivacy-direktivet (2002/58/EF) artikkel 5 nr. 3, og fastsetter at lagring av opplysninger i eller innhenting av opplysninger fra abonnentens eller brukerens terminalutstyr bare kan skje dersom abonnenten eller brukeren er gitt tydelig og fullstendig informasjon om formålet med behandlingen, og har gitt sitt samtykke. Unntaket gjelder informasjonskapsler som er strengt nødvendige for å levere en tjeneste brukeren uttrykkelig har bedt om.

Personvernforordningen (GDPR) og gyldig samtykke. Der informasjonskapsler behandler personopplysninger, krever personvernforordningen (GDPR) et gyldig rettslig grunnlag etter artikkel 6. Samtykke etter artikkel 6 nr. 1 bokstav a er det vanlige grunnlaget for markedsføring og statistikkinformasjonskapsler. Etter personvernforordningen (GDPR) artikkel 7 skal samtykket være frivillig, spesifikt, informert og utvetydig; forhåndsavkryssede bokser gir ikke gyldig samtykke. Samtykket skal være like enkelt å trekke tilbake som å gi etter artikkel 7 nr. 3.

EPrivacy-direktivet og fremtidig ePrivacy-forordning. EPrivacy-direktivet (2002/58/EF) er det primære regelverket for informasjonskapsler i Europa og er gjennomført i ekomloven (2003) § 2-7b. EU arbeider med en ePrivacy-forordning som skal erstatte direktivet og harmonisere reglene ytterligere. Forordningen er ikke vedtatt per 2026, og direktivet og ekomloven gjelder inntil videre.

Datatilsynets tilsyn og praksis. Datatilsynet fører aktivt tilsyn med nettsteders bruk av informasjonskapsler og samtykkebannere. Datatilsynet har i veiledning og tilsynssaker understreket at samtykkebannere som gjøre det vanskeligere å avvise enn å akseptere informasjonskapsler («mørke mønstre»), ikke oppfyller kravene til gyldig samtykke. Datatilsynet kan gi pålegg og ilegge overtredelsesgebyr for brudd på ekomloven (2003) § 2-7b og personvernforordningen (GDPR) ved ulovlig bruk av informasjonskapsler.

Overføring til tredjeland og EU–US Data Privacy Framework. Mange populære analyseverktøy og markedsføringsplattformer er amerikanske selskaper og overfører data til USA. Slik overføring krever et gyldig overføringsgrunnlag etter personvernforordningen (GDPR) artiklene 44 til 49. EU-kommisjonen vedtok i juli 2023 en beslutning om tilstrekkelig beskyttelsesnivå for overføring til USA under EU–US Data Privacy Framework (DPF). Virksomheter bør sjekke at de amerikanske leverandørene er sertifisert under DPF eller at annet overføringsgrunnlag foreligger.

Klageadgang og sanksjoner. Den registrerte kan klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77. Datatilsynet kan ilegge overtredelsesgebyr for brudd på kravene til informasjonskapsler og samtykke etter personvernforordningen (GDPR) artikkel 83 og ekomloven (2003) § 2-7b. Datatilsynets vedtak kan påklages til Personvernnemnda.

Vanlige feil ved utforming av Cookie-policy Norge kan medføre at samtykket er ugyldig, at informasjonskapsler settes uten gyldig grunnlag, og at nettstedet risikerer reaksjoner fra Datatilsynet.

Feil 1 — Forhåndsavkryssede bokser i samtykkebanneret. Å bruke forhåndsavkryssede bokser for statistikk- og markedsføringsinformasjonskapsler gir ikke gyldig samtykke etter personvernforordningen (GDPR) artikkel 7, og ekomloven (2003) § 2-7b. Samtykket skal være aktivt og utvetydig. Løsning: sørg for at alle kategorier av ikke-nødvendige informasjonskapsler er avkryssede som standard.

Feil 2 — Sette informasjonskapsler før samtykke er gitt. Å sette statistikk- eller markedsføringsinformasjonskapsler på nettstedet før brukeren har gitt samtykke er et brudd på ekomloven (2003) § 2-7b. Løsning: sørg for at samtykkebanneret vises og samtykke innhentes før alle ikke-nødvendige informasjonskapsler settes; bruk en teknisk løsning (CMP) som blokkerer informasjonskapsler inntil samtykke er gitt.

Feil 3 — Gjøre det vanskeligere å avvise enn å akseptere. Samtykkebannere som har en tydelig «Aksepter alle»-knapp men ingen tilsvarende «Avvis alle»-knapp, eller som krever mange klikk for å avvise, oppfyller ikke kravet om at avvisning skal være like enkelt som aksept. Datatilsynet har reagert mot slike «mørke mønstre». Løsning: sørg for at det er like enkelt å avvise alle ikke-nødvendige informasjonskapsler som å akseptere dem.

Feil 4 — Ufullstendig liste over informasjonskapsler. En cookie-policy som ikke beskriver alle informasjonskapsler som faktisk brukes på nettstedet, er misvisende og oppfyller ikke informasjonskravene. Løsning: gjennomfør regelmessig cookie-skanning av nettstedet og oppdater policyen ved endringer.

Feil 5 — Manglende informasjon om tredjeparter og overføring til tredjeland. En cookie-policy som ikke identifiserer tredjepartsleverandørene og deres overføring til USA, er ufullstendig og kan ikke gi et gyldig informert samtykke. Løsning: list opp alle tredjepartsleverandører med navn og land, og angi overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49.

Feil 6 — Manglende oppdatering ved endringer i informasjonskapsler. En cookie-policy som ikke oppdateres ved endringer i nettstedets bruk av informasjonskapsler, for eksempel ved nye analyseverktøy eller ny annonseplattform, er utdatert og misvisende. Løsning: gjennomgå og oppdater policyen regelmessig og ved endringer i informasjonskapsler.

Feil 7 — Ingen mulighet til å trekke tilbake samtykket. Et samtykkebanner som ikke gir brukeren mulighet til å endre eller trekke tilbake samtykket etter det er gitt, oppfyller ikke kravet om at samtykket skal være like enkelt å trekke tilbake som å gi etter personvernforordningen (GDPR) artikkel 7 nr. 3. Løsning: sørg for at cookie-innstillingene er lett tilgjengelige på alle sider, typisk via en lenke i bunnteksten.