Hvordan etterleve kravene til cookies i Ekomloven?

Hva er nytt i Ekomloven?

Endringene i Ekomloven harmoniserer norske regler med de som gjelder i EU/EØS. Dette betyr at alle internasjonale samtykkeplattformer som opererer innenfor EU, slik som Cookiebot, dekker kravene dersom de er konfigurert riktig.

Bestemmelsen er teknologinøytral

Reglene gjelder ikke bare cookies, men også andre teknologier som lagrer eller henter ut informasjon fra brukerens kommunikasjonsutstyr. Dette inkluderer blant annet lokal lagring i nettleseren og andre sporingsteknologier. 

Hva kreves for et gyldig samtykke?

For at et samtykke skal være gyldig etter Ekomloven, må det oppfylle følgende kriterier:

• Frivillig: Brukeren skal kunne si nei uten å miste tilgang til grunnleggende funksjoner.
• Spesifikt: Samtykke må gjelde for klart definerte formål.
• Informert: Brukeren må få tydelig informasjon om hva de samtykker til.
• Utvetydig: Det skal ikke være tvil om at brukeren har gitt samtykke. 
• Gitt gjennom en aktiv handling: Passiv aksept, som å bare bruke nettsiden, er ikke nok.
• Dokumenterbart: Du må kunne bevise at samtykke er gitt.
• Mulig å trekke tilbake: Brukeren skal kunne trekke tilbake samtykket like enkelt som det ble gitt. 

Alle disse kravene må være oppfylt for at samtykket skal anses som gyldig. Virksomheter som tilbyr tjenester som bruker cookies eller lignende teknologier, er ansvarlige for å sikre dette.

 

Frivillig

Nettsidene må virke selv om man velger å ikke tillate cookies. Du kan fortsatt bruke funksjonelle cookies, men i meget begrenset grad. Eksempler på cookies som ikke krever samtykke, inkluderer:

• Cookies som husker produkter i en handlekurv
• Cookies som gir grunnleggende sikkerhet
• Cookies som brukes for å distribuere trafikklast mellom servere

Det finnes formuleringer innenfor GDPR som også omtaler utformingen av frivillig samtykke.

 

Spesifikt, informert og utvetydig

Dette kommer ned til hvordan informasjonen om cookies presenteres og hvor lett den er å forstå for en bruker som ønsker å sette seg inn i hvilke cookies som brukes og hvordan.

Samtykkeplattformer som Cookiebot har allerede løst dette ved å kategorisere cookies, samt å gi de vanligste cookiene en kort beskrivelse. Hvis eiere av nettsteder som bruker Cookiebot ønsker å beskrive spesifikke cookies med flere detaljer, er dette også mulig.

 

Gitt gjennom en aktiv handling

For at et samtykke skal være gyldig, må brukeren bevisst utføre en handling som utløser samtykket. Det vanligste er en cookiebanner med en knapp, men det finnes også andre måter å gi samtykke på, slik som:

• Endre innstillinger eller preferanser på en brukerkonto
• Aktivt valg i forbindelse med utfylling av skjema
• Aktivt samtykke gitt utenfor nettsidene

Dokumenterbart

Som eier av et nettsted er det ditt ansvar å kunne dokumentere at et samtykke har blitt gitt.

Dokumentasjonskravet vil variere basert på formen det har blitt gitt i, men som en referanse dokumenterer Cookiebot hvert samtykke med følgende informasjon:

• Brukerens IP-nummer i anonymisert form
• Datoen og klokkeslettet for samtykket
• Brukerens nettlesers brukeragent
• URL-en hvor samtykket ble sendt fra
• En anonym, tilfeldig og kryptert nøkkelverdi
• Brukerens samtykkestatus, som fungerer som bevis på samtykke.

 

Mulig å trekke tilbake samtykke like enkelt som det ble gitt

Dette er et punkt som mange nettsider synder mot. Kravet om å trekke tilbake et samtykke like lett som det ble gitt, er et område hvor det åpnes for stor grad av tolkning.

Gitt at de fleste nettsider har forstyrrende cookie-bannere for å gi samtykke, kan dette tolkes til at tilsvarende bannere også må vises på alle sider for å trekke tilbake samtykket. Dette er derimot ikke gjeldende praksis, men at det er en klar og tydelig måte å trekke tilbake samtykket på, er viktig.

Utforming av cookie banner

Det har lenge vært bruk av "dark patterns" innenfor design og utforming av cookie banner. Dette kan lede så mye som 90% av brukerne til å klikke "godta" samtykke, selv om statistikk viser at bare 3% av brukerne faktisk ønsker å godta samtykke til cookies.

Disse metodene bryter helt klart med prinsippene i den nye Ekomloven, siden gyldig samtykke må være fritt gitt, spesifikt, informert og utvetydig.

Noen nettsteder eksperimenterer også med “cookie paywall" som gir brukerne muligheten til å godta informasjonskapsler eller tegne et abonnement. I dette tilfellet har ikke brukerne noe reelt valg, siden å avvise samtykket ikke bare er tidkrevende, men også dyrt.

Anbefalt tilnærming er at knappene for å akseptere og avvise samtykket er like store, i samme farge og plassert ved siden av hverandre. Det prisvinnende GOV.UK design-systemet har korte og tydelige retningslinjer for utforming av cookie bannere.

 

Husk forskjellen mellom cookies og markedsføringssamtykke

Samtykke til cookies reguleres av Ekomloven, mens samtykke til digital markedsføring reguleres av Markedsføringsloven, og behandling av personopplysninger reguleres av Personopplysningsloven. Dette er ulike regler som må håndteres separat.

Hvis du ønsker å dykke dypere ned i den juridiske siden av den nye ekomloven, anbefaler vi Advokatfirmaet Simonsen Vogt Wiigs gjennomgang av lovforslaget.

Hvis du ønsker hjelp med å tilpasse din nettside til de nye reglene, er du velkommen til å kontakte oss.