Nye regler for cookies i 2025 – Dette må du vite

Cookie banner informasjonskapsler illustrasjon devora
Personvern / 10. mars 2025 / 6 minutter med lesing

Fra 1. januar 2025 trådte en oppdatert versjon av ekomloven i kraft i Norge, noe som medfører betydelige endringer i hvordan virksomheter må håndtere informasjonskapsler (cookies) på sine nettsider. Disse endringene har som mål å styrke personvernet til brukerne og bringe norsk lovgivning i tråd med EUs personvernforordning (GDPR).

Hva er informasjonskapsler?

Informasjonskapsler, eller cookies, er små tekstfiler som lagres på brukerens enhet, for eksempel PC/Mac, nettbrett eller mobiltelefon, når de besøker en nettside. Disse filene brukes til å lagre informasjon om brukerens aktiviteter og preferanser, som for eksempel innloggingsstatus, språkvalg eller hvilke sider som er besøkt. Mens noen informasjonskapsler er nødvendige for at nettsiden skal fungere korrekt, brukes andre til analyseformål eller målrettet markedsføring.

Teknologien brukes til å logge hvilke nettsteder enheten din har besøkt og kan deretter brukes til å gi deg personaliserte annonser, eller tilpasse nettstedet eller tjenesten til din (tidligere) adferd eller for å samle inn data om bruk av nettstedet (analytics).

cookies cookiebanner informasjonskapsler banner

Hva er de nye reglene i ekomloven?

Kravene til cookies i ekomloven fører til at det må gis samtykke for ALLE cookies (eller tilsvarende teknologier), med unntak av de som er særlig nødvendig. Dette er uavhengig av om det behandles personopplysninger ved bruk av cookies.

Den oppdaterte ekomloven introduserer flere viktige endringer knyttet til bruk av informasjonskapsler:

  1. Strengere krav til samtykke:

    Tidligere kunne nettsider benytte seg av passivt samtykke, hvor brukeren ble ansett å ha samtykket dersom de ikke aktivt reserverte seg. Med de nye reglene kreves et aktivt og informert samtykke fra brukeren før informasjonskapsler kan lagres på deres enhet. Dette innebærer at samtykket må være frivillig, spesifikt, informert og utvetydig

  2. Like enkelt å avslå som å godta samtykke:

    Nettsider må sørge for at det er like enkelt for brukeren å avslå som å godta bruk av informasjonskapsler. Dette betyr at alternativer for å nekte samtykke skal være like synlige og tilgjengelige som alternativene for å gi samtykke.

    Juridisk spesialrådgiver i Datatilsynet, Anders Sæve Obrestad forklarer i et intervju med Bergens Tidende.

    – Nå må nettsider sikre at brukerne gir et reelt samtykke. Det skal blant annet være like lett å si nei som ja. Vi tror dette vil bidra til å gi folk bedre kontroll over personopplysningene sine.

  3. Begrensning av unntak for nødvendige informasjonskapsler:

    Begrepet “nødvendig” er erstattet med “strengt nødvendig”, noe som snevrer inn hvilke informasjonskapsler som kan settes uten samtykke. Dette betyr at kun de informasjonskapslene som er absolutt nødvendige for at tjenesten skal fungere, kan settes uten brukerens samtykke.

cookies,personvern,ekomloven,regler ekomloven | Fra 1. januar 2025 trådte en oppdatert versjon av ekomloven i kraft i Norge, noe som medfører betydelige endringer i hvordan virksomheter må håndtere informasjonskapsler (cookies) på sine nettsider. Disse endringene har som mål å styrke personvernet til brukerne og bringe norsk lovgivning i tråd med EUs personvernforordning (GDPR).
(Kilde: Teknologiadvokat Jan Sandtro, sandtro.no)

Illustrasjonen viser at det må innhentes samtykke for alt utenom «strengt nødvendige cookies», men der hvor det behandles personopplysninger kan man enten benytte seg av samtykke eller berettiget interesse avhengig av hvor omfattende personopplysninger som samles inn og/eller hvor inngripende opplysningene er.

Konsekvenser av manglende etterlevelse

Det er også nytt i Norge at Datatilsynet nå får et klarere mandat til å være tilsyn for cookiereglene. Vi kan derfor forvente at kravet til samtykke nå faktisk blir håndhevet. (Dette blir også nytt i Norge!) Dessuten er det slik at Datatilsynet pleier å følge Personvernrådets syn på jussen. Det er veldig sannsynlig at cookies heretter er mye mer enn cookies, også i Norge.

Manglende overholdelse av de nye reglene kan få alvorlige konsekvenser for virksomheter: 

  • Bøter og sanksjoner:

    Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) har fått utvidet myndighet til å føre tilsyn med etterlevelse av reglene. Brudd på loven kan resultere i betydelige bøter og andre sanksjoner.

  • Tap av brukernes tillit:

    Virksomheter som ikke respekterer brukernes personvern, risikerer å miste tillit, noe som kan påvirke omdømme og kundelojalitet negativt.

Implementering og korrekt håndtering av cookies

For å sikre etterlevelse av de nye reglene bør virksomheter gjennomføre følgende tiltak:

Kartlegg eksisterende informasjonskapsler:

Utfør en grundig gjennomgang av hvilke informasjonskapsler som brukes på nettsiden, inkludert deres formål og varighet.

  • Oppdater samtykkebanner:

    Implementer et samtykkebanner som gir brukerne klare valg, hvor det er like enkelt å avslå som å godta informasjonskapsler. Banneret bør også gi mulighet for brukeren til å velge hvilke typer informasjonskapsler de ønsker å tillate.

  • Gi tydelig informasjon:

    Sørg for at informasjon om bruk av informasjonskapsler er lett tilgjengelig og skrevet i et klart og forståelig språk. Dette inkluderer detaljer om hvilke data som samles inn, formålet med innsamlingen, og hvem som har tilgang til dataene.

  • Implementer mekanismer for tilbaketrekking av samtykke:

    Brukerne skal enkelt kunne trekke tilbake sitt samtykke når som helst. Dette kan for eksempel gjøres gjennom en funksjon på nettsiden hvor brukeren kan endre sine preferanser.

  • Dokumenter samtykke:

    Ha systemer på plass som dokumenterer når og hvordan samtykke ble gitt, slik at virksomheten kan bevise etterlevelse ved en eventuell revisjon. 

For eksempel her på Devora.no har vi utviklet vår egen løsning for samtykke av informasjonskapsler (cookies) hvor kun nødvendige informasjonskapsler er huket av på forhånd. Brukeren kan enten velge hvilke informasjonskapsler han eller hun ønsker å godta, eller velge å avslå eller godta alle informasjonskapsler. Besøkende på nettsiden kan også når som helst klikke på «Administrer Informasjonskapsler» på bunnen av nettsiden for å endre sine samtykker.

Hvis noen av våre besøkere ønsker mer informasjon om hvilke informasjonskapsler vi benytter på devora.no, eller ønsker å få innsikt i hvilke data vi har lagret på den spesifikke brukeren, er disse enkelt tilgjengelig på våre nettsider under «Mine data». På den måten sørger vi for både å etterkomme alle lover og regler, gjør det enkelt og brukervennlig for besøkende å endre eller trekke tilbake sine samtykker, og til en hver tid få oversikt over hvilke data som er lagret på noen få sekunder.

Devora cookiebanner informasjonskapsler banner
Slik er cookiebanneret på devora.no utformet. 

Hva er kravene til samtykke av cookies?

Datatilsynet skriver at den største endringen i de nye reglene er at samtykke til bruk av cookies og lignende teknologier må oppfylle kravene til samtykke i personvernforordningen for å være gyldig. Frem til nå har det for eksempel vært tilstrekkelig at standardinnstillinger i nettlesere tillater cookies. For at et samtykke skal være gyldig etter den nye loven, må det være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Se også Datatilsynets generelle veiledning om hva som ligger i kravene til et gyldig samtykke.

Hvem gjelder den norske ekomloven (EKOM) for?

Ekomloven i Norge tolkes generelt – allerede i første utgave som kom i 2003, til å gjelde for enhver nettside eller app som er rettet mot norske brukere eller som opererer på det norske markedet, uavhengig av domenenavnet eller språket til den digitale plattformen. Dette inkluderer:

1. Alle nettsider med et .no domene

Disse anses eksplisitt å operere i Norge og er underlagt norsk lov, inkludert EKOM-loven.

2. Nettsider eller apper på Norsk

Hvis en nettside eller app er tilgjengelig på norsk, blir den ofte sett på som rettet mot norske brukere, noe som gjør den underlagt norske regler, inkludert ekomloven.

3. Nettsteder eller apper rettet mot et norsk publikum

Dette dekker nettsteder eller apper som:

  • Annonser til norske brukere.
  • Tilbudspriser i norske kroner (NOK).
  • Har funksjoner eller markedsføring eksplisitt skreddersydd for Norge (f.eks. frakt til Norge, ved bruk av lokale betalingsmetoder som for eksempel Vipps osv.).
  • Samler inn personopplysninger fra norske innbyggere.

Hva skjer hvis jeg ikke følger reglene for cookies?

Norske tilsynsmyndigheter, inkludert Datatilsynet og Nkom, kan ilegge sanksjoner, for eksempel bøter for manglende overholdelse.

Utover økonomiske konsekvenser, risikerer bedrifter omdømmeskade og offentlig gransking, spesielt for gjentatte brudd. Uvitenhet om loven anses ikke som et gyldig forsvar, så proaktiv overholdelse er avgjørende.

Oppsummering

De oppdaterte reglene for bruk av informasjonskapsler i Norge setter strengere krav til hvordan virksomheter innhenter og håndterer brukersamtykke. For å unngå sanksjoner og opprettholde brukernes tillit, er det avgjørende at virksomheter tilpasser sine nettsider i tråd med disse kravene.

Har du spørsmål eller trenger hjelp med å implementere et compliant cookie-banner på din nettside? Ta kontakt med oss i Devora. Vi tilbyr skreddersydde løsninger som sikrer at din virksomhet overholder de nye personvernreglene, samtidig som du opprettholder en positiv brukeropplevelse. 

Vil du vite mer?

Fortell oss kort om behovene deres – så tar vi kontakt med deg, blir bedre kjent. Sammen finner vi gode løsninger!

Bilde av daglig leder i Devora. Christian Hjellestad

Christian Hjellestad

Daglig leder, Rådgivning
Bergen

Hvor mye koster en nettbutikk? 

Prøv vår priskalkulator her →