Tilbake til aktuelt

Strengere krav til cookies

Den nye ekomloven trådte i kraft 1. januar 2025. Den nye loven innebærer blant annet at samtykkekravet for informasjonskapsler (cookies) skjerpes, og vil tilsvare kravene til GDPR-samtykke.

Bakgrunn

Den nye ekomloven ble sanksjonert i statsråd den 13. desember 2024, og trådte i kraft 1. januar 2025.

Vi har tidligere gitt en oversikt over lovens viktigste endringer.

Strengere samtykkekrav

Den nye loven stiller blant annet strengere krav til samtykke for bruk av cookies og lignende teknologier. Fra nå av kreves det et samtykke som er gyldig etter GDPR.

Dette innebærer blant annet at samtykke må gis aktivt av brukeren, og ikke gjennom innstillinger i nettleseren, forhåndsutfylte ruter eller opt-out-løsninger. Brukeren må aktivt klikke "Ja takk" eller tilsvarende, og det må innhentes separat samtykke for de ulike cookie-kategoriene, som for eksempel markedsføring, statistikk og analyse. Det skal være like enkelt å si nei som å si ja, og samtykket må innhentes gjennom enkle og tydelige mekanismer uten skjulte valg eller villedende design. Samtykket må kunne trekkes tilbake like enkelt som det er gitt.

Videre må brukeren få lett tilgjengelig informasjon som gjør det enkelt å forstå konsekvensene av et eventuelt samtykke. Det betyr blant annet at alle formålene med de enkelte cookie-kategoriene må fremkomme tydelig, og det må spesifiseres hvilke leverandører man vil dele dataene med, og for hvilke formål.

Alle virksomheter må derfor gjennomgå sin bruk av cookies, hvilken informasjon som gis til brukerne og hvordan samtykke innhentes. Et samtykke som ikke oppfyller alle kravene i GDPR vil ikke være gyldig, og bruk av cookies uten gyldig samtykke er ulovlig, med mindre det dreier seg om strengt nødvendige cookies.

Unntak for strengt nødvendige cookies

Det er ikke krav til samtykke for cookies som er strengt nødvendig for å levere en informasjonssamfunnstjeneste (f.eks. en hjemmeside) etter sluttbrukerens eller brukerens uttrykkelige forespørsel. Unntaket gjelder bare cookies som er en forutsetning for å kunne levere tjenesten, dvs. cookies som er plassert for at en nettside skal kunne fungere rent teknisk.

Unntaket er det samme som før, men begrepet "nødvendige" cookies skal erstattes med "strengt nødvendige" cookies for å sikre bedre samsvar med EUs kommunikasjonsverndirektiv. Brukeren skal ikke bli spurt om å godta slike strengt nødvendige cookies, da de ikke krever samtykke.

Tilsyn og håndheving

Datatilsynet og Nkom skal ha felles tilsynsmyndighet med bestemmelsen. Endringen bringer norsk rett i samsvar med EU-retten når det gjelder cookies og lignende teknologier, og innebærer at norske internettbrukere får et sterkere vern mot sporing på nett. Det er ventet mer fokus og håndheving på dette området også i Norge, slik vi ser i resten av Europa.

DALL E 2025 01 28 12 43 37 A scene portraying a person contemplating whether to accept a cookie blending the concept of digital web cookies and an actual baked cookie The sett