Ny veileder fra Datatilsynet – Dette betyr det for deg som bruker cookies

🔍 Hva er nytt?

Selve loven er ikke ny. Det som er nytt, er hvor tydelig Datatilsynet nå er på hvordan samtykke faktisk skal innhentes og behandles. Den nye veilederen gir en systematisk gjennomgang av kravene – og fungerer som en sjekkliste du bør gå gjennom snarest mulig. Før kontrollen banker på døra, bokstavelig talt.

✅ Ti praktiske råd fra Datatilsynet

Her er Datatilsynets egne “huskelapper” for å gjøre ting riktig:

1. Ikke bruk cookie-wall – altså, du kan ikke kreve samtykke for å gi tilgang til nettsiden.
2. Samtykke og avvisning skal være like enkelt – knappene skal være like synlige og tilgjengelige.
3. Samtykke må gis før cookies settes – unntaket er strengt nødvendige cookies.
4. Knytt samtykke til formål – som f.eks. statistikk, markedsføring eller personalisering.
5.  Vær tydelig og konkret i informasjonen – både i tekst og knappene.
6. Ha en god samtykkeløsning – bruk gjerne lagvis informasjon og ikke alt i én boks.
7. Ikke manipuler brukeren – mørke mønstre og villedende design er ulovlig.
8. Gjør det enkelt å trekke tilbake samtykke – og ha en reell mekanisme for det.
9. Følg med på cookies fra tredjeparter – du er ansvarlig for alle, også fra Google og Meta.
10. Hold orden i eget hus – gjennomgå cookies og samtykkeløsning jevnlig.

❌ Hva er en cookie-wall – og hvorfor er det ikke lov?

En cookie-wall er en “mur” du må komme deg gjennom for å få tilgang til innholdet på en nettside. Du får ikke se noe før du har trykket “Godta alle”.

Men samtykke skal være frivillig – og hvis det ikke finnes en reell mulighet til å si nei, så er det ikke frivillig. Derfor: Cookie-walls er ute. Punktum.

🧠 Samtykke må være koblet til formål

Det er ikke lenger godt nok å bare si “Vi bruker cookies”. Du må forklare hva slags cookies du bruker – og hvorfor.

Eksempler på gyldige formål:

• 🎯 Markedsføring – for eksempel annonsering via Google Ads eller Meta.
• 📊 Statistikk – som Google Analytics.
• ✨ Personalisering – som å huske brukerens språkvalg eller vise tilpasset innhold.

Eksempler på ugyldige eller for brede formål:

• “For å forbedre brukeropplevelsen” (for vagt).
• “For å gjøre nettsiden bedre” (meningsløst uten konkretisering).

⚠️ Ansvarlig for ALT – også tredjeparts cookies

Hvis du bruker tredjepartsløsninger som Meta Pixel, LinkedIn Insight Tag eller Google Ads, så må du vite én ting:

👉 Du er fortsatt behandlingsansvarlig for dataen som samles inn.

Det betyr også at hvis brukeren trekker tilbake samtykket, må behandlingen av dataene stanse. Og ikke bare hos deg – men også hos Google, Meta eller hvem enn du deler dataen med.

Det reiser det store spørsmålet:

Hvordan sletter du egentlig data som allerede er sendt til tredjeparter?

Svaret? Det er vanskelig – og foreløpig ikke godt løst teknisk. Men ansvaret ligger hos deg. Så tenk deg om før du slipper inn enhver ekstern sporingstjeneste.

🛑 “Nei takk” skal være like enkelt som “Ja takk”

Dette er en av de viktigste poengene i veilederen. Du skal ikke måtte bruke 10 sekunder på å finne “Avvis” mens “Godta alle” blinker i neon.

👉 Brukeren skal kunne gi, avslå eller trekke tilbake samtykke like enkelt.

Det betyr:

• Tydelige knapper på samme nivå.
• Ikke gjemme valgmuligheter bak ekstra klikk.
• Ikke tvinge brukeren til å gjøre valg hele tiden – men alltid gi kontroll.

🧼 Egenkontroll og jevnlig gjennomgang

Vi sier det igjen: Du er ansvarlig for hvordan cookies fungerer på din nettside – selv om du bruker ferdige løsninger fra for eksempel CookieYes eller OneTrust.

Det er lett å tenke “Dette er noen andres ansvar” – men det er det ikke. Det er ditt.

Derfor bør du:

• Gå gjennom hvilke cookies som settes.
• Se hva som skjer før og etter samtykke.
• Kontrollere hvordan samtykke trekkes tilbake – og hva som faktisk skjer da.

🔁 Hva skjer hvis samtykke trekkes tilbake?

Her blir det teknisk – men viktig.

Hvis noen først samtykker, og deretter trekker det tilbake, skal all videre behandling av personopplysninger stanse umiddelbart.

Og: All data som er samlet inn på grunnlag av samtykket, skal slettes.

Det gjelder også data du har delt med Meta, Google og andre. Og her er vi inne i et minefelt, for det finnes ingen god teknisk løsning per i dag for å trekke tilbake delt data hos en tredjepart.

Likevel: Dette fritar deg ikke for ansvar. Så vurder nøye hvilke aktører du gir tilgang til dataen din.

🧾 Hva sier veilederen om lovgrunnlag?

Datatilsynet er ganske bastant her:

“Andre rettslige grunnlag i personvernforordningen enn samtykke kan nesten aldri brukes for videre behandling av slike personopplysninger.”

Vi stusset litt over denne formuleringen. For i noen tilfeller kan jo berettiget interesse være aktuelt. Men i praksis er dette sjelden et problem – siden samtykke dekker de fleste behandlingsaktiviteter uansett. Men det blir plutselig viktig hvis noen trekker samtykket – da har du ikke lenger et annet grunnlag å lene deg på.

💡 Hva bør du gjøre nå?

Hvis du ennå ikke har:

✅ Gått gjennom samtykkeløsningen din

✅ Testet hvordan cookies faktisk fungerer i praksis

✅ Fjernet unødvendige eller utdaterte cookies

✅ Sørget for en likeverdig “Avvis”-knapp

✅ Etablert en mekanisme for å trekke tilbake samtykke

… så er tiden inne. Og ja – du må gjøre det selv om du bruker en ferdig løsning.

🚨 Kort oppsummert: Dette må du huske

•Ikke sett cookies før samtykke.

•Ikke gjem “Avvis”-knappen.

•Ikke bruk cookie-wall.

•Vær konkret om formål.

•Ikke stol blindt på tredjepartsverktøy.

•Ha kontroll på ALT – også det du ikke har laget selv.

👋 Trenger du hjelp?

Vi i Devora bygger egne cookie-løsninger – og vi vet hva som faktisk skjer under panseret. Enten du trenger en full gjennomgang, en ny samtykkeløsning eller bare vil sove litt bedre om natta:

📩 Ta kontakt – vi hjelper deg med å holde orden i eget hus.