Cookie Policy Norway
Ekomloven (2003) §2-7b; personvernforordningen (GDPR) art. 7; ePrivacy-direktivet
COOKIE-POLICY (INFORMASJONSKAPSELERKLÆRING)
[Ansvarlig Navn]
Nettsted: [Nettsted Domene]
1. INNLEDNING
[Ansvarlig Navn], organisasjonsnummer [Ansvarlig Orgnr], bruker informasjonskapsler (cookies) og lignende sporingsteknologi på nettstedet [Nettsted Domene]. Denne cookie-policyen beskriver hva informasjonskapsler er, hvilke kategorier vi bruker, formålene de tjener, og hvordan du som bruker kan styre dine innstillinger.
Bruken av informasjonskapsler reguleres av ekomloven (2003) § 2-7b, som gjennomfører ePrivacy-direktivet (2002/58/EF med endringer), og av personvernforordningen (GDPR), som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Datatilsynet fører tilsyn med etterlevelsen av regelverket.
2. HVA ER INFORMASJONSKAPSLER?
En informasjonskapsel er en liten tekstfil som lagres på din enhet (datamaskin, nettbrett, mobiltelefon) av nettleseren din når du besøker et nettsted. Informasjonskapsler gjør det mulig for nettstedet å huske informasjon om besøket ditt, slik som språkvalg, innloggingsstatus eller innhold i handlekurven. Informasjonskapsler kan ha ulik varighet: økt-informasjonskapsler slettes automatisk når du lukker nettleseren, mens permanente informasjonskapsler lagres for en angitt periode.
Lignende teknologier som web-beacons (pikselkoder), HTML5-lagring og fingeravtrykkteknologi kan brukes til beslektede formål. Disse er ikke teknisk sett informasjonskapsler, men er underlagt de samme samtykkereglene etter ekomloven (2003) § 2-7b.
3. KATEGORIER AV INFORMASJONSKAPSLER VI BRUKER
3.1 Nødvendige informasjonskapsler (ingen samtykke kreves)
[Nodvendige Cookies]. Nødvendige informasjonskapsler er strengt nødvendige for at nettstedet skal fungere slik du har bedt om, og kan ikke deaktiveres uten at nettstedet slutter å fungere. Etter ekomloven (2003) § 2-7b kreves ikke samtykke for disse.
3.2 Statistikk- og analyseinformasjonskapsler (samtykke kreves)
[Statistikk Cookies]. Statistikkinformasjonskapsler brukes til å forstå hvordan besøkende bruker nettstedet, slik at vi kan forbedre innhold og funksjonalitet. Disse kan bare settes etter ditt samtykke etter ekomloven (2003) § 2-7b, jf. personvernforordningen (GDPR) artikkel 7.
3.3 Markedsføringsinformasjonskapsler (samtykke kreves)
[Markedsforing Cookies]. Markedsføringsinformasjonskapsler brukes til målrettet markedsføring, konverteringssporing og retargeting. Disse kan bare settes etter ditt samtykke etter ekomloven (2003) § 2-7b, jf. personvernforordningen (GDPR) artikkel 7. Samtykke er frivillig og kan trekkes tilbake når som helst.
4. TREDJEPARTER OG OVERFØRING TIL TREDJELAND
Nettstedet benytter informasjonskapsler fra tredjeparter: [Tredjepart Liste]. Overføring av opplysninger til land utenfor EØS skjer kun der det foreligger et gyldig overføringsgrunnlag etter personvernforordningen (GDPR) artiklene 44 til 49, for eksempel EU–US Data Privacy Framework eller EU-kommisjonens standard personvernbestemmelser.
5. SAMTYKKE OG SAMTYKKEHÅNDTERING
Når du besøker [Nettsted Domene] for første gang, vises et samtykkebanner der du kan akseptere eller avvise ikke-nødvendige informasjonskapsler. Samtykket innhentes i henhold til personvernforordningen (GDPR) artikkel 7 og ekomloven (2003) § 2-7b. Det skal være like enkelt å avvise som å akseptere. Samtykkeplattform: [Samtykke Plattform].
Du kan når som helst endre dine innstillinger for informasjonskapsler ved å åpne cookie-innstillingene på nettstedet, eller ved å administrere innstillinger i nettleseren din. Tilbaketrekkingen påvirker ikke lovligheten av behandling som har skjedd på grunnlag av samtykket før tilbaketrekkingen.
6. DINE RETTIGHETER
Der bruken av informasjonskapsler innebærer behandling av personopplysninger, gjelder de registrertes rettigheter etter personvernforordningen (GDPR) kapittel 3: innsyn etter artikkel 15, retting etter artikkel 16, sletting etter artikkel 17, begrensning etter artikkel 18, dataportabilitet etter artikkel 20 og rett til å protestere etter artikkel 21. Henvendelser rettes til [Kontakt Epost].
Du har dessuten rett til å klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 og personopplysningsloven (2018). Datatilsynets vedtak kan påklages til Personvernnemnda.
7. OPPDATERING AV COOKIE-POLICYEN
Denne cookie-policyen kan bli endret ved endringer i vår bruk av informasjonskapsler, ny lovgivning eller ny praksis fra Datatilsynet eller EU-domstolen. Den nyeste versjonen er alltid tilgjengelig på [Nettsted Domene]. Kontakt oss på [Kontakt Epost] ved spørsmål.
What Is a Cookie Policy Norway?
A Cookie Policy in Norway (informasjonskapselerklæring) is a public document in which a website operator informs visitors about the use of cookies and similar tracking technologies, in compliance with the Electronic Communications Act (ekomloven 2003) section 2-7b, which implements the ePrivacy Directive (2002/58/EC), and with the General Data Protection Regulation (GDPR) article 7 on valid consent, which applies in Norway through the EEA Agreement. The policy describes the categories of cookies used (strictly necessary, analytics, marketing), the purposes they serve, the third-party providers, and how visitors can manage or withdraw their consent through a consent management platform.
When Do You Need a Cookie Policy Norway?
Cookie-policy i Norge trengs av alle nettsteder som bruker informasjonskapsler eller lignende sporingsteknologi utover de strengt nødvendige. Plikten til å informere om informasjonskapsler og til å innhente samtykke følger av ekomloven (2003) § 2-7b.
Nettbutikker og netthandel. Alle nettbutikker bruker informasjonskapsler til en rekke formål: nødvendige informasjonskapsler for handlekurv og innlogging, analyseinformasjonskapsler som Google Analytics for å forstå kundeatferd, og markedsføringsinformasjonskapsler for retargeting og konverteringssporing. En cookie-policy er obligatorisk, og samtykke må innhentes for alle informasjonskapsler utover de strengt nødvendige etter ekomloven (2003) § 2-7b.
Nettsteder med Google Analytics eller andre analyseverktøy. Bruken av Google Analytics, Adobe Analytics og lignende analyseverktøy innebærer bruk av tredjeparts informasjonskapsler og overføring av data til USA. En cookie-policy som beskriver dette og som innhenter samtykke, er nødvendig. Datatilsynet og østerrikske, franske og tyske tilsynsmyndigheter har konkludert med at standard bruk av Google Analytics uten tilstrekkelig tilpasning kan være i strid med personvernregelverket ved overføring til USA uten tilstrekkelig rettslig grunnlag.
Nettsteder med sosiale medier-integrasjoner. Bruk av Facebook-piksel, Google Ads-sporing, LinkedIn Insight Tag og tilsvarende tredjepartsintegrasjoner innebærer bruk av markedsføringsinformasjonskapsler som setter cookies fra tredjeparter på brukerens enhet. En cookie-policy som beskriver disse integrasjonene og innhenter samtykke, er obligatorisk etter ekomloven (2003) § 2-7b.
Nettsteder med betalingstjenester og innebygde tredjepartsfunksjoner. Innebygde elementer som betalingsknapper, kart, videoer og kommentarseksjoner fra tredjeparter kan sette informasjonskapsler uten at nettstedoperatøren er klar over det. Cookie-policyen bør lage opp alle tredjepartsleverandører og deres informasjonskapsler etter ekomloven.
Offentlige nettsteder og myndighetsnettsteder. Offentlige etater, kommuner og departementer som driver nettsteder med statistikk- eller analyseinformasjonskapsler, har de samme pliktene etter ekomloven (2003) § 2-7b som private aktører. Offentlige nettsteder må ha en cookie-policy og innhente samtykke for ikke-nødvendige informasjonskapsler. Datatilsynet har rett til å føre tilsyn med offentlige virksomheter på lik linje med private.
Nettsteder med nyhetsbrev og e-postmarkedsføring. Bruk av tredjepartsverktøy som Mailchimp eller HubSpot for e-postmarkedsføring innebærer som regel bruk av sporingspiksel i e-poster og informasjonskapsler på nettstedet for å spore konverteringer. En cookie-policy som beskriver dette og innhenter samtykke, er nødvendig.
Nettsteder med tilpasset innhold og A/B-testing. Bruk av verktøy for A/B-testing, personalisering av innhold og brukerreisesporing innebærer behandling av brukerdata via informasjonskapsler. Disse verktøyene krever samtykke etter ekomloven (2003) § 2-7b og en cookie-policy som beskriver bruken og gir brukerne mulighet til å takke nei.
What to Include in Your Cookie Policy Norway
En komplett Cookie-policy Norge inneholder følgende nøkkelelementer for å oppfylle kravene i ekomloven (2003) § 2-7b, personvernforordningen (GDPR) artikkel 7 og ePrivacy-direktivet.
Hva er informasjonskapsler. Cookie-policyen bør forklare hva informasjonskapsler er på en klar og forståelig måte etter personvernforordningen (GDPR) artikkel 12 nr. 1. En god forklaring beskriver at en informasjonskapsel er en liten tekstfil som lagres på brukerens enhet, at den kan ha ulik varighet (økt-informasjonskapsler versus permanente informasjonskapsler), og at lignende teknologier som web-beacons og HTML5-lagring kan brukes til beslektede formål.
Kategorier av informasjonskapsler. Cookie-policyen skal beskrive alle kategorier av informasjonskapsler som brukes på nettstedet: (a) nødvendige informasjonskapsler som ikke krever samtykke etter ekomloven (2003) § 2-7b, for eksempel øktinformasjonskapsler, CSRF-tokens og innlogging; (b) statistikk- og analyseinformasjonskapsler som krever samtykke, for eksempel Google Analytics; og (c) markedsføringsinformasjonskapsler som krever samtykke, for eksempel Meta Pixel og Google Ads. For hver kategori bør policyen angi leverandør, formål, navn på informasjonskapselen og varighet.
Samtykke og samtykkehåndtering. Cookie-policyen skal beskrive samtykkemekanismen, typisk et samtykkebanner som vises ved første besøk. Samtykket etter personvernforordningen (GDPR) artikkel 7 skal være frivillig, spesifikt, informert og utvetydig. Det skal være like enkelt å avvise som å akseptere. Policyen skal opplyse om at samtykket kan trekkes tilbake når som helst, og beskrive hvordan brukeren kan gjøre dette, for eksempel via cookie-innstillinger på nettstedet eller via nettleserinnstillinger.
Tredjeparter og overføring til tredjeland. Cookie-policyen skal angi alle tredjepartsleverandører av informasjonskapsler, herunder Google LLC, Meta Platforms Inc. og LinkedIn Corporation. Der opplysninger overføres til land utenfor EØS, for eksempel USA, skal overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49 angis, for eksempel EU–US Data Privacy Framework eller EU-kommisjonens standard personvernbestemmelser.
De registrertes rettigheter. Cookie-policyen skal informere om de registrertes rettigheter etter personvernforordningen (GDPR) kapittel 3 der informasjonskapslene innebærer behandling av personopplysninger, herunder innsynsrett etter artikkel 15, rett til retting etter artikkel 16, rett til sletting etter artikkel 17, rett til begrensning etter artikkel 18, rett til dataportabilitet etter artikkel 20 og rett til å protestere etter artikkel 21. Disse elementene utfyller forms-legal.com bibliotekets maler for personvern.
Klageadgang til Datatilsynet. Cookie-policyen bør informere om at brukeren kan klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 og personopplysningsloven (2018) dersom vedkommende er misfornøyd med nettstedets håndtering av informasjonskapsler. Datatilsynets vedtak kan påklages til Personvernnemnda.
Oppdateringsdato og versjonskontroll. Cookie-policyen bør angi dato for siste oppdatering. Policyen bør gjennomgås og oppdateres ved endringer i nettstedets bruk av informasjonskapsler, ny lovgivning eller ny praksis fra Datatilsynet eller EU-domstolen.
How to Fill Out Your Cookie Policy Norway
Å fylle ut en Cookie-policy Norge korrekt krever at man følger trinnene nedenfor, slik at policyen oppfyller kravene i ekomloven (2003) § 2-7b og personvernforordningen (GDPR).
Trinn 1 — Identifiser alle informasjonskapsler på nettstedet. Gjennomfør en kartlegging av alle informasjonskapsler nettstedet bruker, inkludert tredjeparts informasjonskapsler fra analyseverktøy, markedsføringspikslere og sosiale medieintegrasjoner. Bruk et cookie-skanningsverktøy for å avdekke informasjonskapsler du kanskje ikke er klar over. Kjenne til leverandør, formål, navn og varighet for alle informasjonskapsler.
Trinn 2 — Angi virksomhetens navn og organisasjonsnummer. Oppgi virksomhetens fulle navn slik det fremgår av Foretaksregisteret, organisasjonsnummer (ni sifre) og nettstedets domenenavn. Klare identifikasjonsopplysninger er viktige for at brukerne vet hvem som er behandlingsansvarlig.
Trinn 3 — Oppgi kontaktadresse for personvernspørsmål. Angi e-postadressen der brukere kan henvende seg med spørsmål om informasjonskapsler og personvern. Dersom virksomheten har et personvernombud etter personvernforordningen (GDPR) artikkel 37, bør ombudets kontaktopplysninger angis.
Trinn 4 — Beskriv nødvendige informasjonskapsler. Beskriv de informasjonskapsler som er strengt nødvendige for nettstedets funksjon, med navn, leverandør (egne systemer) og varighet. Nødvendige informasjonskapsler krever ikke samtykke etter ekomloven (2003) § 2-7b, men bør likevel beskrives i policyen for transparensens skyld.
Trinn 5 — Beskriv statistikk- og analyseinformasjonskapsler. Beskriv analyseinformasjonskapsler med navn, leverandør (for eksempel Google LLC), formål og varighet. Samtykke er obligatorisk for disse. Angi at de bare settes etter gyldig samtykke etter ekomloven (2003) § 2-7b.
Trinn 6 — Beskriv markedsføringsinformasjonskapsler. Beskriv markedsføringsinformasjonskapsler og piksler med navn, leverandør, formål og varighet. Samtykke er obligatorisk. Angi overføringsgrunnlag for opplysninger som overføres til USA eller andre land utenfor EØS.
Trinn 7 — List opp tredjepartsleverandører og overføringsgrunnlag. List opp alle tredjepartsleverandører med navn, land og formål. Angi overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49 for leverandører utenfor EØS, for eksempel EU–US Data Privacy Framework for amerikanske leverandører.
Trinn 8 — Beskriv samtykkehåndteringen. Beskriv samtykkebanneret og samtykkeplattformen som benyttes. Angi at brukeren kan endre eller trekke tilbake samtykket når som helst via cookie-innstillingene på nettstedet. Samtykket etter personvernforordningen (GDPR) artikkel 7 skal være like enkelt å trekke tilbake som å gi.
Trinn 9 — Publiser policyen og sett opp samtykkebanneret. Gjør cookie-policyen lett tilgjengelig, typisk i bunnteksten på alle sider og via samtykkebanneret. Sett opp samtykkebanneret slik at ikke-nødvendige informasjonskapsler bare settes etter aktivt samtykke, og at det er like enkelt å avvise som å akseptere.
Legal Requirements for Cookie Policy Norway
Cookie-policy Norge er regulert av ekomloven (2003) § 2-7b, personvernforordningen (GDPR) og ePrivacy-direktivet, som til sammen fastsetter kravene til samtykke og informasjon om informasjonskapsler.
Ekomloven (2003) § 2-7b. Den sentrale hjemmelen for kravet om samtykke til informasjonskapsler i Norge er ekomloven om elektronisk kommunikasjon, § 2-7b. Bestemmelsen gjennomfører ePrivacy-direktivet (2002/58/EF) artikkel 5 nr. 3, og fastsetter at lagring av opplysninger i eller innhenting av opplysninger fra abonnentens eller brukerens terminalutstyr bare kan skje dersom abonnenten eller brukeren er gitt tydelig og fullstendig informasjon om formålet med behandlingen, og har gitt sitt samtykke. Unntaket gjelder informasjonskapsler som er strengt nødvendige for å levere en tjeneste brukeren uttrykkelig har bedt om.
Personvernforordningen (GDPR) og gyldig samtykke. Der informasjonskapsler behandler personopplysninger, krever personvernforordningen (GDPR) et gyldig rettslig grunnlag etter artikkel 6. Samtykke etter artikkel 6 nr. 1 bokstav a er det vanlige grunnlaget for markedsføring og statistikkinformasjonskapsler. Etter personvernforordningen (GDPR) artikkel 7 skal samtykket være frivillig, spesifikt, informert og utvetydig; forhåndsavkryssede bokser gir ikke gyldig samtykke. Samtykket skal være like enkelt å trekke tilbake som å gi etter artikkel 7 nr. 3.
EPrivacy-direktivet og fremtidig ePrivacy-forordning. EPrivacy-direktivet (2002/58/EF) er det primære regelverket for informasjonskapsler i Europa og er gjennomført i ekomloven (2003) § 2-7b. EU arbeider med en ePrivacy-forordning som skal erstatte direktivet og harmonisere reglene ytterligere. Forordningen er ikke vedtatt per 2026, og direktivet og ekomloven gjelder inntil videre.
Datatilsynets tilsyn og praksis. Datatilsynet fører aktivt tilsyn med nettsteders bruk av informasjonskapsler og samtykkebannere. Datatilsynet har i veiledning og tilsynssaker understreket at samtykkebannere som gjøre det vanskeligere å avvise enn å akseptere informasjonskapsler («mørke mønstre»), ikke oppfyller kravene til gyldig samtykke. Datatilsynet kan gi pålegg og ilegge overtredelsesgebyr for brudd på ekomloven (2003) § 2-7b og personvernforordningen (GDPR) ved ulovlig bruk av informasjonskapsler.
Overføring til tredjeland og EU–US Data Privacy Framework. Mange populære analyseverktøy og markedsføringsplattformer er amerikanske selskaper og overfører data til USA. Slik overføring krever et gyldig overføringsgrunnlag etter personvernforordningen (GDPR) artiklene 44 til 49. EU-kommisjonen vedtok i juli 2023 en beslutning om tilstrekkelig beskyttelsesnivå for overføring til USA under EU–US Data Privacy Framework (DPF). Virksomheter bør sjekke at de amerikanske leverandørene er sertifisert under DPF eller at annet overføringsgrunnlag foreligger.
Klageadgang og sanksjoner. Den registrerte kan klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77. Datatilsynet kan ilegge overtredelsesgebyr for brudd på kravene til informasjonskapsler og samtykke etter personvernforordningen (GDPR) artikkel 83 og ekomloven (2003) § 2-7b. Datatilsynets vedtak kan påklages til Personvernnemnda.
Common Mistakes to Avoid in Your Cookie Policy Norway
Vanlige feil ved utforming av Cookie-policy Norge kan medføre at samtykket er ugyldig, at informasjonskapsler settes uten gyldig grunnlag, og at nettstedet risikerer reaksjoner fra Datatilsynet.
Feil 1 — Forhåndsavkryssede bokser i samtykkebanneret. Å bruke forhåndsavkryssede bokser for statistikk- og markedsføringsinformasjonskapsler gir ikke gyldig samtykke etter personvernforordningen (GDPR) artikkel 7, og ekomloven (2003) § 2-7b. Samtykket skal være aktivt og utvetydig. Løsning: sørg for at alle kategorier av ikke-nødvendige informasjonskapsler er avkryssede som standard.
Feil 2 — Sette informasjonskapsler før samtykke er gitt. Å sette statistikk- eller markedsføringsinformasjonskapsler på nettstedet før brukeren har gitt samtykke er et brudd på ekomloven (2003) § 2-7b. Løsning: sørg for at samtykkebanneret vises og samtykke innhentes før alle ikke-nødvendige informasjonskapsler settes; bruk en teknisk løsning (CMP) som blokkerer informasjonskapsler inntil samtykke er gitt.
Feil 3 — Gjøre det vanskeligere å avvise enn å akseptere. Samtykkebannere som har en tydelig «Aksepter alle»-knapp men ingen tilsvarende «Avvis alle»-knapp, eller som krever mange klikk for å avvise, oppfyller ikke kravet om at avvisning skal være like enkelt som aksept. Datatilsynet har reagert mot slike «mørke mønstre». Løsning: sørg for at det er like enkelt å avvise alle ikke-nødvendige informasjonskapsler som å akseptere dem.
Feil 4 — Ufullstendig liste over informasjonskapsler. En cookie-policy som ikke beskriver alle informasjonskapsler som faktisk brukes på nettstedet, er misvisende og oppfyller ikke informasjonskravene. Løsning: gjennomfør regelmessig cookie-skanning av nettstedet og oppdater policyen ved endringer.
Feil 5 — Manglende informasjon om tredjeparter og overføring til tredjeland. En cookie-policy som ikke identifiserer tredjepartsleverandørene og deres overføring til USA, er ufullstendig og kan ikke gi et gyldig informert samtykke. Løsning: list opp alle tredjepartsleverandører med navn og land, og angi overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49.
Feil 6 — Manglende oppdatering ved endringer i informasjonskapsler. En cookie-policy som ikke oppdateres ved endringer i nettstedets bruk av informasjonskapsler, for eksempel ved nye analyseverktøy eller ny annonseplattform, er utdatert og misvisende. Løsning: gjennomgå og oppdater policyen regelmessig og ved endringer i informasjonskapsler.
Feil 7 — Ingen mulighet til å trekke tilbake samtykket. Et samtykkebanner som ikke gir brukeren mulighet til å endre eller trekke tilbake samtykket etter det er gitt, oppfyller ikke kravet om at samtykket skal være like enkelt å trekke tilbake som å gi etter personvernforordningen (GDPR) artikkel 7 nr. 3. Løsning: sørg for at cookie-innstillingene er lett tilgjengelige på alle sider, typisk via en lenke i bunnteksten.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Cookie Policy Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/business/policies/cookie-policy-norway
"Cookie Policy Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/business/policies/cookie-policy-norway.
@misc{formslegal-cookie-policy-norway,
author = {{Forms Legal}},
title = {Cookie Policy Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/business/policies/cookie-policy-norway}},
note = {Free legal document template}
}
Frequently Asked Questions
Alle norske nettsteder som bruker informasjonskapsler eller lignende sporingsteknologi utover de strengt nødvendige, trenger en cookie-policy og må innhente samtykke. Kravene følger av ekomloven (2003) § 2-7b, som gjennomfører ePrivacy-direktivet. Nødvendige informasjonskapsler, som slike som husker innholdet i en handlekurv eller sikrer innlogging, krever ikke samtykke. Informasjonskapsler for statistikk, analyse, markedsføring og personalisering krever derimot aktivt samtykke. Et nettsted som kun bruker nødvendige informasjonskapsler og ingen analyseverktøy, trenger ikke innhente samtykke, men bør likevel ha en informasjonstekst. I praksis bruker de fleste nettsteder minst ett analyseverktøy (Google Analytics, Matomo e.l.) og trenger derfor samtykke og cookie-policy. Datatilsynet fører tilsyn med etterlevelsen av regelverket.
Etter ekomloven (2003) § 2-7b krever alle informasjonskapsler samtykke, med ett unntak: informasjonskapsler som er strengt nødvendige for å levere en tjeneste brukeren uttrykkelig har bedt om. Nødvendige informasjonskapsler er for eksempel øktinformasjonskapsler som husker innholdet i handlekurven, informasjonskapsler som sikrer innlogging, CSRF-tokens for sikkerhet, og innstillingsinformasjonskapsler for språkvalg. Disse krever ikke samtykke. Alle andre informasjonskapsler krever samtykke, herunder statistikk- og analyseinformasjonskapsler som Google Analytics, markedsføringsinformasjonskapsler som Meta Pixel og Google Ads, tredjepartspiksler fra sosiale medier som LinkedIn Insight Tag, og personaliseringsinformasjonskapsler for tilpasset innhold og A/B-testing. Samtykket skal innhentes via et samtykkebanner som vises ved første besøk, og brukeren skal ha like lett for å avvise som å akseptere ikke-nødvendige informasjonskapsler etter personvernforordningen (GDPR) artikkel 7.
Et gyldig samtykke for informasjonskapsler etter personvernforordningen (GDPR) artikkel 7 og ekomloven (2003) § 2-7b skal oppfylle fire krav. For det første skal samtykket være frivillig: brukeren skal ha en reell valgmulighet og skal ikke utsettes for negative konsekvenser for å avvise informasjonskapsler. For det andre skal samtykket være spesifikt: brukeren skal kunne akseptere og avvise ulike kategorier av informasjonskapsler separat, ikke bare gi en samlet aksept for alle. For det tredje skal samtykket være informert: brukeren skal ha mottatt tydelig informasjon om hvilke informasjonskapsler som brukes, til hvilke formål, og hvem som setter dem, slik at samtykket er reelt informert. For det fjerde skal samtykket være utvetydig: samtykket skal gis gjennom en klar bekreftende handling, for eksempel ved å klikke på «Aksepter»; forhåndsavkryssede bokser eller inaktivitet er ikke gyldig samtykke. I tillegg skal samtykket være like enkelt å trekke tilbake som å gi, etter personvernforordningen (GDPR) artikkel 7 nr. 3. Samtykke som er gitt ved forhåndsavkryssede bokser eller der avvisning krever flere klikk enn aksept, er ikke gyldig.
Å bruke statistikk- eller markedsføringsinformasjonskapsler uten gyldig samtykke er et brudd på ekomloven (2003) § 2-7b og personvernforordningen (GDPR). Datatilsynet fører aktivt tilsyn med samtykkepraksis og kan gi pålegg om å bringe praksisen i samsvar med regelverket. Datatilsynet kan også ilegge overtredelsesgebyr etter personvernforordningen (GDPR) artikkel 83, inntil 20 millioner euro eller 4 prosent av global omsetning for de alvorligste bruddene. I tillegg kan kunder og brukere klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77. EU-domstolen og nasjonale tilsynsmyndigheter har i en rekke saker ilagt betydelige bøter for ulovlig bruk av informasjonskapsler, herunder saker mot Google, Meta, Amazon og IAB Europe. Datatilsynets vedtak kan påklages til Personvernnemnda.
Et samtykkebanner (Consent Management Platform, CMP) er et verktøy som vises til besøkende ved første besøk på et nettsted og ber dem om å velge hvilke informasjonskapsler de ønsker å tillate. CMPer er i praksis nødvendige for alle nettsteder som bruker ikke-nødvendige informasjonskapsler, fordi de er den tekniske mekanismen for å innhente og dokumentere gyldig samtykke etter ekomloven (2003) § 2-7b og personvernforordningen (GDPR) artikkel 7. Populære CMPer i Norge inkluderer Cookiebot (dansk), OneTrust (amerikansk) og CookieYes. En god CMP skal: (1) vise banneret ved første besøk for brukere uten eksisterende samtykkevalg; (2) gi brukeren mulighet til å akseptere eller avvise ulike kategorier separat; (3) gjøre avvisning like enkelt som aksept; (4) dokumentere samtykket med tidsstempel og versjon; (5) gi brukeren mulighet til å trekke tilbake samtykket når som helst via et tilgjengelig innstillingspanel. Bruk av en etablert CMP er det sikreste alternativet for å sikre at samtykket er gyldig og dokumentert.
Bruk av Google Analytics innebærer overføring av personopplysninger (inkludert IP-adresse og brukeridentifikatorer fra informasjonskapsler) til Google LLC i USA. Datatilsynet og en rekke europeiske tilsynsmyndigheter har konkludert med at overføring til USA via Google Analytics uten tilstrekkelig overføringsgrunnlag kan være i strid med personvernforordningen (GDPR) artiklene 44 til 49. EU-kommisjonen vedtok i juli 2023 en beslutning om tilstrekkelig beskyttelsesnivå for overføring til USA under EU–US Data Privacy Framework (DPF), og Google LLC er sertifisert under DPF. Sertifiseringen gir et gyldig overføringsgrunnlag for overføring til Google. For å redusere risikoen anbefales det å aktivere IP-anonymisering i Google Analytics 4, å begrense datalagringen til minimum, og å sette opp Google Analytics for å respektere brukerens samtykkevalg via samtykkebanneret (Consent Mode). Cookie-policyen bør eksplisitt nevne Google LLC, USA, DPF som overføringsgrunnlag, og beskrive formål og varighet for Google Analytics-informasjonskapslene.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Personvernerklæring Norge
Personvernerklæring for nettsteder og virksomheter etter personvernforordningen (GDPR) artiklene 13 og 14, personopplysningsloven (2018) og ekomloven. Beskriver behandlingsansvarlig, kategorier av opplysninger, rettslige grunnlag, lagringstid, de registrertes rettigheter, informasjonskapsler og klage til Datatilsynet.
Databehandleravtale Norge
Databehandleravtale som regulerer behandling av personopplysninger på vegne av behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018). Fastsetter instrukser, taushetsplikt, sikkerhetstiltak, underdatabehandlere, avviksmeldeplikt og sluttbehandling av opplysninger.