Cookie consent och efterlevnad: vad svenska företag behöver tänka på

Cookie consent och efterlevnad: vad svenska företag behöver tänka på

Dennis Elmersson
Dennis Elmersson SEO, GEO & AI
7 min läsning

Kort svar

Cookie consent och efterlevnad handlar om mer än att lägga in en ruta längst ner på webbplatsen. Du behöver veta vilka cookies och script som faktiskt laddas, vilka som kräver samtycke, hur användaren kan tacka nej och hur valet styr tekniken bakom sidan.

För svenska företag är grundprincipen enkel: nödvändiga cookies kan användas utan samtycke, men cookies för statistik, annonsering, personalisering och liknande ändamål kräver normalt ett aktivt ja innan de används.

Det svåra är inte att förstå principen. Det svåra är att få webbplats, taggar, annonssystem och dokumentation att bete sig likadant i praktiken.

Börja med vad som faktiskt laddas

Många cookie-problem börjar i fel ände. Man tittar på bannern först och tekniken sen.

Gör tvärtom.

Börja med att inventera vad webbplatsen laddar vid ett första besök. Det gäller inte bara klassiska cookies, utan även script, pixlar, local storage, formulärverktyg, chattfunktioner, kartor, inbäddade videospelare och taggar i Google Tag Manager.

Skriv ned:

  • namn på cookie eller teknik
  • leverantör
  • ändamål
  • kategori
  • lagringstid
  • om det är första part eller tredje part
  • om det sätts innan eller efter samtycke

Utan den listan blir cookiepolicyn ofta gissningar. Och om webbplatsen förändras ofta, till exempel genom kampanjsidor och nya annonskanaler, behöver listan uppdateras.

Samtycke ska vara ett aktivt val

Ett giltigt samtycke ska bygga på ett tydligt val. Det räcker inte att användaren fortsätter scrolla, klickar vidare på sidan eller inte orkar stänga en banner.

Det betyder i praktiken:

  • inga förkryssade val
  • inget “godkänn allt” som enda rimliga väg framåt
  • ingen kakvägg som stänger ute användare som inte accepterar
  • inget laddande av spårning innan användaren har valt ja
  • möjlighet att tacka nej utan onödiga hinder
  • möjlighet att ändra eller återkalla samtycke senare

Det här är också en designfråga. Om “Acceptera alla” är starkt markerad och “Neka” är undangömd i flera lager får användaren inte ett särskilt neutralt val. En banner kan alltså vara tekniskt avancerad men ändå ge ett dåligt samtyckesflöde.

Skilj på nödvändigt och önskvärt

Allt som är bra för företaget är inte nödvändigt för användaren.

Nödvändiga cookies kan till exempel handla om säkerhet, inloggning, varukorg, språkval eller att komma ihåg användarens cookieval. De behövs för att tjänsten ska fungera.

Cookies för statistik, annonsering, remarketing, A/B-testning och personalisering är något annat. De kan vara värdefulla för marknadsföring och förbättringsarbete, men de är normalt inte nödvändiga för att besökaren ska kunna använda webbplatsen.

Den uppdelningen behöver synas både i texten och i tekniken. Om analysverktyg ligger under “nödvändigt” bara för att företaget vill ha mätning blir klassificeringen svag.

Bannern och taggarna måste hänga ihop

En vanlig miss är att samtyckesbannern ser korrekt ut, men att taggarna ändå laddas för tidigt.

Det händer ofta när webbplatsen har vuxit över tid. En del script ligger hårdkodade i sidmallen. Några ligger i Google Tag Manager. Några kommer från ett formulär eller en chatt. Några har lagts in av en tidigare byrå eller annonskonsult.

Då räcker det inte att installera en banner. Du behöver koppla samtyckeskategorier till hur taggarna får laddas.

Testa minst dessa lägen:

  • första besök utan val
  • användaren tackar nej
  • användaren accepterar bara nödvändiga cookies
  • användaren accepterar statistik men inte marknadsföring
  • användaren accepterar allt
  • användaren ändrar sitt val senare

Kontrollera i webbläsarens utvecklarverktyg vilka cookies och nätverksanrop som faktiskt sker. Titta inte bara på vad bannern påstår.

För företag som använder Google Ads, Google Analytics eller remarketing är Consent Mode ofta en viktig del av implementationen. Men Consent Mode är inte samma sak som efterlevnad.

Det är en teknisk signalering som hjälper Googles taggar att anpassa beteendet efter användarens val. Den måste fortfarande bygga på ett samtycke som är korrekt insamlat, begripligt för användaren och kopplat till rätt ändamål.

Det här är värt att säga tydligt: en felaktig banner blir inte rätt bara för att Consent Mode är aktiverat.

Om ni redan arbetar med Google Ads bör ni även se över vår tidigare genomgång av Google Consent Mode v2.

Cookiepolicyn ska vara begriplig

En cookiepolicy behöver inte vara poetisk. Den behöver vara användbar.

Besökaren ska kunna förstå:

  • vilka cookies och liknande tekniker som används
  • varför de används
  • vem som placerar dem
  • hur länge de sparas
  • om information delas med tredje part
  • hur samtycke kan återkallas

Det räcker sällan med en generell text om att webbplatsen använder cookies “för att förbättra upplevelsen”. Skriv hellre konkret och något torrare. Det är bättre att användaren förstår än att texten låter elegant.

Gör det lätt att ändra sig

Samtycke är inte en engångshändelse. Användaren ska kunna ändra sitt val.

Det praktiska upplägget kan vara en tydlig länk i sidfoten, en knapp på cookiesidan eller en ikon som finns kvar på webbplatsen. Poängen är att användaren inte ska behöva leta.

Om det krävs fem klick, en dold undermeny eller rensning av webbläsardata för att ändra val är lösningen svag. Återkallelse ska vara enkel nog att fungera i vardagen.

Dokumentera besluten

Cookie consent blir ofta personberoende. Någon på marknad vet vilka taggar som finns. Någon utvecklare vet vad som är hårdkodat. Någon konsult vet hur annonskontot är byggt.

Det håller dåligt över tid.

Dokumentera därför:

  • vilka verktyg som används
  • vilka kategorier de tillhör
  • vem som äger respektive verktyg
  • var scriptet laddas
  • vilket samtycke som krävs
  • hur lösningen har testats
  • när inventeringen senast uppdaterades

Det gör framtida kampanjer, redesigns och byråbyten enklare. Det minskar också risken att någon lägger in en ny pixel och oavsiktligt rundar hela samtyckesflödet.

Vanliga misstag

Vi ser framför allt fem återkommande problem.

1. Alla cookies hamnar i samma kategori

När allt klassas som nödvändigt försvinner användarens faktiska val. Det kan kännas administrativt enkelt, men det är sällan hållbart.

2. Taggar laddas innan samtycke

Det här är ett av de vanligaste tekniska felen. Webbplatsen visar en banner, men analys- och annonstaggar har redan hunnit köras.

3. Cookiepolicyn uppdateras inte

Policyn skrevs vid lansering, men sedan har nya verktyg lagts till. Resultatet blir att texten och webbplatsen inte beskriver samma verklighet.

4. Samtycke testas bara på desktop

Många besök sker på mobil. Där kan knappar, lager och återkallelse fungera sämre än i desktopvyn. Testa båda.

5. Ingen äger frågan

Cookie consent hamnar mellan juridik, marknad och utveckling. Någon behöver ha ansvar för helheten, annars blir lösningen snabbt gammal.

En praktisk checklista

Om ni vill göra en snabb genomgång, börja här:

  1. Inventera cookies, script och lagring i webbläsaren.
  2. Dela upp dem i tydliga kategorier.
  3. Kontrollera vilka som kräver samtycke.
  4. Säkerställ att de inte laddas innan rätt val är gjort.
  5. Gör det lika lätt att neka som att acceptera.
  6. Lägg en tydlig möjlighet att ändra samtycke.
  7. Uppdatera cookiepolicyn med konkreta uppgifter.
  8. Testa i mobil, desktop och inkognitoläge.
  9. Dokumentera lösningen.
  10. Lägg in en rutin för kontroll när nya verktyg läggs till.

Det behöver inte bli ett stort projekt varje gång. Men det behöver vara systematiskt.

Sammanfattning

Cookie consent och efterlevnad är en kombination av juridik, teknik och användarupplevelse. Den synliga bannern är bara en del av lösningen.

Det viktigaste är att användaren får ett verkligt val, att icke nödvändig spårning väntar på samtycke och att företaget vet vad webbplatsen faktiskt gör.

För många företag är den bästa starten en teknisk cookie- och tagginventering. Där syns snabbt om bannern, policyn och spårningen berättar samma historia.

Behöver ni se över samtycke, mätning och taggar i samband med en ny webbplats eller kampanj? Läs mer om hur vi arbetar med SEO, GEO och SEM.

Källor: PTS om kakor och samtycke, IMY om samtycke som rättslig grund, EDPB:s rapport från Cookie Banner Taskforce.

Spårning GDPR Webbanalys SEM
Tillbaka till bloggen

Har du ett projekt i tankarna?

Vi hjälper dig att ta nästa steg. Kontakta oss för en kostnadsfri konsultation.

Kontakta oss