Cookies (også kalt «informasjonskapsler») har vært mye diskutert de siste årene, og skaper spørsmål og utfordringer både innenfor markedsføring, teknologi, design og brukeropplevelser for nettsider mv., personvern og annet. Her møtes jussen og teknologien, og det skaper friksjon (og følelser).
Dette er et forsøk på å gi en oversikt over hva cookies er, bruken av cookies, hva er status på lovgivningen, kreves det samtykke for cookies og hvordan kan samtykke gis lovlig osv. Til slutt er det en oversikt over hvordan cookie-bannere brukes og om de oppfyller kravet til samtykke.
- Cookies og regelverket
- Cookies – bruk og typer
- Krever bruk av cookies samtykke?
- Hva er et samtykke? Krav til samtykker
- Samtykke som del av konto/registrering av bruker
- Grunnlag for behandling av personopplysninger
- Informasjon til brukerne
- «Information only»
- Passiv aksept
- «Catch all»
- «Catch all» med informasjon
- «Catch all» og underliggende valg
- «Catch all» og underliggende valg med informasjon
- «Catch all or not»
- Alternativer og underliggende valg
- «Catch all or not» med informasjon
- «Catch all» og underliggende valg med informasjon
- Alternativer og underliggende valg med informasjon
- Valg i front – opt-out med informasjon
- Valg i front – opt-out og alternativer med informasjon
- Valg i front – opt-in og alternativer med informasjon
- Valg i front – opt-in med informasjon
Cookies og regelverket
Cookies – bruk og typer
Cookies (også kalt «informasjonskapsler») er et samlebegrep for flere tekniske løsninger ulike måter å gi funksjoner til nettsider, analysere bruk av nettsider eller koble brukere av nettsider/apper til ulike formål.
Cookies brukes bl.a. ved at det plasseres en tekstfil på utstyret til brukere (PC, nettbrett, telefon mv.), eller så kan det brukes andre tekniske løsninger uten at jeg går inn på dette her. Cookies kan brukes på nettsider, apper og annet, men her bruker jeg «nettsider» for enkelthetens skyld.
Cookies kan deles inn i grupper etter funksjoner, hvor disse kategoriene er mye brukt:
- Nødvendige cookies er cookies som er nødvendige for at en nettside skal fungere som den skal. Det kan også være cookies f.eks. for å kontrollere om brukeren har tidligere samtykket ved cookie-banner, cookies for publiseringsplattformen som er benyttet osv. Disse cookiene samler sjelden inn personopplysninger.
- Funksjonelle cookies sørger for ekstra funksjoner på en nettside, men som ikke er nødvendig for at nettsiden skal fungere, som å få en nettbutikk til å fungere, innsendelse av skjemaer, innlogging på tjenester, huske hva som er i handlevognen i en nettbutikk osv. Disse cookiene samler normalt ikke inn personopplysninger.
- Analyse-/statistikk-cookies brukes til å spore brukere og aktivitet på nettsidene. Det kan være alt fra hvilke sider brukeren leser, linker som det klikkes på, hvor courseren er plassert på nettsidene, samt informasjon om brukeren, som IP-adresse, alder, område/by/land, interesser (nettsider besøkt) mv. Google Analytics er en typisk statistikk-cookie. Disse cookiene kan samle inn personopplysninger.
- Cookies for personalisering/tilpasning brukes til å tilpasse nettsidene for den enkelte bruker, ved å vise utvalgt informasjon, som nyheter, innhold som antas å være mer interessant for brukeren, men sporer også hvilken bruker som er på hvilke sider for å kunne tilpasse innhold på andre nettsider som bruker samme cookies/sporingssystem. Disse cookiene kan samle inn personopplysninger samt lage profiler på brukere eller plassere dem i kategorier.
- Cookies for markedsføring brukes til å spore brukeren ved å plassere annonser og markedsføring på nettsidene basert på interesser for produkter og tjenester, preferanser, andre besøkte nettsider mv. Vil som regel innebærer å profilere brukeren mot, som f.eks. kvinne på 40-50 år interessert i tyske biler eller mann på 20-30 år interessert i surdeigsbrød. Vil bruke informasjonen om brukeren for markedsføring på andre nettsider, sosiale medier mv. Disse cookiene samler som regel inn personopplysninger, og er det som normalt omtales som «tredjepartcookies», se nedenfor.
Det kan være at alternativene ovenfor er slått sammen til grupper, som f.eks. nødvendige og funksjonelle cookies i én gruppe, personalisering og markedsføring i én gruppe.
Som det følger ovenfor, så kan cookies være nyttig både for den som har nettsiden og de som bruker nettsiden (og for andre, som tredjeparter).
Det skilles også mellom cookies som brukes fra nettsiden man besøker, og «tredjeparts-cookies» som betyr cookies fra andre enn den som står for nettsiden og som det overføres opplysninger til, som f.eks. annonsenettverk, sosiale medier mv. Som regel samles det inn personopplysninger ved slike cookies, og overføring er skjult og ikke kjent for den normale bruker (om det ikke er oppgitt i personvernerklæring/cookie-policy eller på et cookie-banner).
Personopplysninger skal heller ikke behandles lenger enn nødvendig, og derfor må cookiene og informasjon som disse samler inn slettes når dette ikke er nødvendige lenger. Sletting skjer som regel ved at cookies har en «utløpsdato» og det her skilles mellom sesjonsavhengig cookie, som slettes etter besøk på nettsiden/nettleseren stenges, fast cookie, som blir liggende en periode, ofte over flere måneder, og tredjeparts cookies, som slettes avhengig av tredjepartens bruk. Det bør oppgis i personvernerklæring/cookie-policy hvilke cookies som brukes og utløpstidspunkt, og her bør det også informeres om når opplysningene som er samlet inn ved cookies slettes.
Krever bruk av cookies samtykke?
Det er diskutert om bruk av cookies krever samtykke fra brukerne. Dette gjelder alle andre cookies enn «nødvendige cookies», siden disse må brukes for at nettsidene skal fungere.
Det ble antatt at etter norsk rett før personvernforordningen (GDPR) så var det tilstrekkelig å ha informasjon om bruk av cookies og at brukeren styrte og ga samtykke til bruken gjennom innstillinger i nettleseren som at cookies skal avvises eller godtas (siden det var kun regulering etter ekomloven § 2-7b) forutsatt at det var tilstrekkelig informasjon om bruk av cookies på nettsiden (alternativet «Information only» i oversikten nedenfor). Informasjon om cookies skal være «lett synlig på nettsiden). Se mer informasjon fra Nasjonal kommunikasjonsmyndighet (Nkom) om cookies her.
Etter GDPR trådet i kraft, og spesielt etter EUs personvernråd (EDPB) ga en uttalelse om forholdet mellom ePrivacy-direktivet og GDPR, og EU-domstolen avsa den såkalte «Planet49-dommen» anses bruk av cookies som samler inn informasjon som kan knyttes til en identifiserbar fysisk person (dvs. personopplysninger) for å kreve et samtykke. En slik identifiserbar person kalles «registrerte» i GDPR, men her brukes det «brukeren» siden det kan både være snakk om registrerte etter GDPR og andre personer som det ikke er knyttet personopplysninger til.
Forholdet til ekomloven er allikevel noe uklart i Norge, og kommende ePrivacyforordning vil muligens gjøre det noe klarer/avklare kravene til samtykke ved bruk av cookies, eventuelt påtvinge at flere følger konsekvensene av GDPR for cookies og Planet49-dommen.
Behandling av personopplysninger kan gjøres etter andre grunnlag, som at det foreligger et berettiget interesse (GDPR artikkel 6 (1) bokstav f), men om det behandles omfattende mengder personopplysninger som er inngripende, som ved adferdsbasert markedsføring som ofte gjøres ved bruk av informsjonskapsler og tilsvarende løsninger, kan det være vanskelig å benytte dette grunnlaget, se mer nedenfor. Derfor er man ofte henvist til å bruke samtykke, om det er mulig. For bruk av samtykke som grunnlag for behandling av personopplysninger og hva som kreves for at samtykker skal være gyldige, se nedenfor.
Hva er et samtykke? Krav til samtykker
Et samtykke skal etter GDPR artikkel 4 punkt 11 være:
- Informert, dvs. om brukeren kan anses å ha tilstrekkelig informasjon om det samtykke som gis og innholdet i dette, ved at det gis informasjon om hvilke cookies som benyttes, konsekvenser av cookiene, og hvor tilgjengelig informasjonen er mv. Informasjon om samtykket skal gis i en forståelig og lett tilgjengelig form og på et klart og enkelt språk, samt at samtykket skal tydelig skilles fra andre forhold etter GDPR artikkel 7.
- Aktivt, dvs. om samtykke vil være aktivt/utvetydig så brukeren kunne velge hvilke cookies som kan benyttes f.eks. ved å krysse av bokser (opt-out) eller hvilke cookies som brukes er allerede valgt ved at det er forhåndsavkryssede bokser hvor brukeren må fjerne kryssene for de cookies som ikke aksepteres (opt-out). Det kan også ha betydning om brukeren må gå til eventuelle underliggende valg (tilleggsvalg som ikke foreligger i cookie-banneret, se ovenfor om underliggende valg). Som nevnt ovenfor, er det en forutsetning i oversikten at de underliggende valgene er opt-in.
Opt-in / opt-out er valg brukeren må ta ved valgbokser, dvs. om brukeren må krysse av eller fjerne kryss:
- Frivillig, dvs. om samtykke gis frivillig, som innebærer at det er påkrevet å gi samtykke f.eks. om det ikke er alternativer til å gi samtykket og det eneste alternative er å akseptere samtykke. Dette gjelder spesielt om det er mulig å avvise cookies, eller da velge kun nødvendige cookies.
- Spesifikt, dvs. om brukerne kan velge alternative cookies ved at samtykke gis og om brukerne kan i tilstrekkelig grad kan bestemme omfanget av samtykket. Kravet om at samtykket i tilstrekkelig grad skal tydelig skilles fra andre forhold etter GDPR artikkel 7, har også betydning for om samtykket er spesifikt.
Dette kan medføre at det ikke kan brukes grafisk utforming, som mer synlig knapp for «aksept», og en mer skjult eller mindre synlig knapp for «avvis», eller uklarheter i hva som godtas eller ikke ved samtykket. I tillegg er det krav etter GDPR artikkel 7 at det skal kunne dokumenteres (påvises) at samtykke er gitt, samtykket skal skilles fra andre forhold (som informasjon som gis ellers, som f.eks. i en personvernerklæring), samtykket skal være forståelig, og i en lett tilgjengelig form på et klart og enkelt språk.
Samtykket skal kunne trekkes tilbake (som brukeren skal informeres om) på en like enkel måte som det ble gitt. Dette setter krav til teknologien, slik at brukeren kan enkelt finne samtykke som er gitt for cookies, og skal kunne endre eller trekke sitt samtykke.
Merk også at dersom samtykket ikke er i henhold til kravene i GDPR, så er ikke samtykket bindene for brukerne, og det kan da ikke brukes cookies som følge av samtykket.
Planet 49-dommen fastslo også at det at man må fjerne forhåndskryssede bokser (opt-out) er ikke å anse som et aktivt, og derfor gyldig, samtykke. Det må være et reelt, aktivt valg for brukeren, ved at det ikke er forhåndskryssede bokser og brukeren må selv krysse av (opt-in).
Samtykke som del av konto/registrering av bruker
I enkelte tilfeller er samtykke for bruk av cookies en del av vilkår ved registrering av konto eller bruker, f.eks. for nettbutikker, nettaviser, sosiale media, medlemsklubber mv.
Samtykke til bruk av cookies kan gis i slike tilfelle, men det kreves at samtykket er gyldig, dvs. at samtykket er informert, aktivt, frivillig og spesifikt, se ovenfor om krav til samtykker. Etter GDPR artikkel 7 (2) er det også et krav at samtykket skal innhentes på en måte som gjør at samtykket kan tydelig skilles fra andre forhold.
Det som kan være problematisk med å ha cookie-samtykke som en del av kontoer, er nettopp det å skille ut samtykket til cookies i tilstrekkelig grad fra andre forhold. Som regel aksepterer man flere forhold ved registrering av konto, som brukervilkår, og dersom cookie-samtykket ikke er tilstrekkelig klart og adskilt fra de andre samtykker som gis ved registrering av konto, er ikke samtykket gyldig.
Grunnlag for behandling av personopplysninger
Ved behandling av personopplysninger, kreves det at det foreligger et behandlingsgrunnlag for behandlingen etter GDPR artikkel 6. Noen mener at slikt grunnlag kan være «berettiget interesse» (etter artikkel 6 (1) f), mens andre mener at det krever et samtykke (etter artikkel 6 (1) a), for bruk av cookies som samler inn personopplysninger. I denne oversikten forutsettes det at det brukes alle typer cookies (dvs. nødvendige, for funksjoner, for statistikk/analyse, for personalisering og for markedsføring). Diskusjonen om grunnlag for behandling kan illustreres på følgende måte:
Det som kan være en utfordring med å bruke berettiget interesse som grunnlag for behandling av personopplysninger knyttet til bl.a. adferdsbasert markedsføring, som i den øverste boksen over, og for personalisering/profilering, er at behandlingen kan være så inngripende at ved interesseavveiningen som gjøres etter GDPR artikkel 6 (1) bokstav f) så vil ikke den berettigede interessen kunne gå foran personvernet til de som personopplysningene gjelder. Man kan da ikke benytte berettiget interesse som grunnlag, noe som gjør at det kreves et samtykke.
Informasjon til brukerne
Ideelt sett bør brukeren få informasjon i et cookie-banner (kan også være en cookie-boks) når brukeren går inn på nettside. Men slik informasjon kan være for omfattende å ha i et banner, pga. grensesnitt, utforming mv. Som nevnt skal samtykket «tydelig […] skilles fra» andre forhold, samt at samtykket, og informasjon til brukerne skal være «i en forståelig og lett tilgjengelig form og på et klart og enkelt språk». Ved samtykket bør derfor følgende bl.a. være med i banneret:
- At det benyttes cookies på nettsiden, og at dette medfører innsamling av informasjon
- Henvisning til mer informasjon i cookie-policy eller personvernerklæring
- Hvilke kategorier cookies som benyttes, og hvilke funksjoner disse har
- Konsekvenser av å akseptere alternativer i banneret, som at cookies aksepteres
- At samtykket kan til enhver tid trekkes (om det samles inn personopplysninger)
Nedenfor er det tatt med tekst i noen bannere, men hvilken informasjon som brukes her kan selvsagt tilpasses etter hva man mener er tilstrekkelig og gir god nok informasjon. Teksten i alternativene er derfor kun til illustrasjon, og bør ikke oppfattes som tilstrekkelig dekkende eller passende i det enkelte tilfelle.
Det har vært et krav etter norsk lovgivning, og som følger av GDPR, at det skal informeres om bruk av cookies og da hvilke cookies som benyttes. I cookie-policy eller personvernerklæring bør det derfor listes opp hvilke cookies som benyttes, helst knyttet til grupper cookies, se ovenfor, eventuelt hva cookiene gjør, om det brukes tredjepartcookies mv. Kravene til informasjon til brukerne etter GDPR artikkel 12 , 13 og 14 må også overholdes i informasjonen til de brukerne, men så lenge dette ikke vedrører samtykket, kan det inntas i personvernerklæringen (med henvisning fra banneret).
Hva som kreves av informasjon i cookie-policyen går jeg ikke inn på her.
Underliggende valg
Underliggende valg er tilleggsvalg i underliggende sier/bokser som ikke foreligger i cookie-banneret, og som er tilgjengelig gjennom å velge linker/knapper i cookie-banneret som «Les mer om cookies her», «Flere alternativer», «Velg cookies her» e.l.
De underliggende boksene kan være opt-out eller opt-in, se nedenfor, som gir samtykket ulik grad av frivillighet avhengig av om boksene er opt-in eller opt-out. Det kan også i tillegg være andre alternativer i boksene som «Goda kun nødvendige» eller «Godta alle».
Om det gis et reelt samtykke i de to alternative boksene nedenfor, er avhengig av om det er forhåndsavkrysset i alternativene (opt-out) eller om brukeren må selv krysse av (opt-out), dvs. om det er er alternativet til venstre som benyttes eller om det er alternativet til høyre. I alternativene nedenfor forutsettes det at boksen til høyre benyttes i vurderingen av samtykkene, som medfører at brukeren går til de underliggende valgene for å velge hvilke cookies som brukes.
Bruke cookies før eller etter samtykke er gitt?
Cookies bør ikke brukes på nettsiden før brukeren har tatt stilling til hvilke cookies som det gis samtykke til. Dette gjelder ikke cookies som er nødvendige, som å kontrollere om brukeren har sett og hatt aktiviteter knyttet til cookie-banneret tidligere. Det brukes imidlertid ofte cookies før cookie-banneret kommer til syne eller brukeren har gitt sitt samtykke, som gir cookie-banneret (og samtykker som gis) ingen betydning.
Tilgang til nettside som krav for samtykke
Noen har bannere eller bokser som blokkerer hele eller vesentlig del av siden, og som krever at brukeren tar et valg, eventuelt gir sitt samtykke, som en forutsetning for at brukeren kan gå inn på nettsiden (ofte kalt «cookie-vegger» eller «cookie walls»).
Det vil ikke være forskjell på disse cookie-veggene enn andre cookie-bannere foruten at man blir tvunget til å ta stilling til bruken av cookies ved bruk av cookie-vegg. Dette kan bedre kravet til aktivt samtykke, siden ved cookie-bannere i ytterkanten av nettsider kan brukeren som regel fortsette å bruke nettsiden uten å gi samtykke. Men så lenge det ikke lastes cookies før man har akseptert eller tilpasset cookies på nettsiden, så er det ingen forskjell på å bruke cookie-vegger eller cookie-bannere.
Dersom en cookie-vegg er bygd opp slik at nettsiden ikke kan brukes uten at det gis et aktivt samtykke til alle eller flere cookies, dvs. at brukeren ikke kan velge hvilke cookies som brukes, er det betenkelig med cookie-vegger, siden det er tvilsomt om det gis et aktivt (og dermed gyldig) samtykke.
Cookie-bannere og vurdering mot samtykke
Nedenfor går jeg gjennom en del av typetilfellene som benyttes ved cookie-bannere i dag. Som det nevnt ovenfor er det usikkerhet om hva som kreves av samtykke for cookies, og det avhenger i stor grad hvor sikker man vil være på at samtykke gis, og hva som vil bli bestemt i ePrivacy-forordningen. Det håpes at denne oversikten kan være nyttig for å gi en oversikt over hvor dekkende kravene til samtykke er ved alternativene, og gi et verktøy for å vurdere de praktiske konsekvenser av forordningen når det kommer (som ser ut til å bli om en stund).
Forutsatt at man legger til grunn at det samles inn personopplysninger ved cookies, og man ønsker å være i overensstemmelse med at det eventuelt foreligger et krav om samtykke, er det gjort en enkel vurdering av alternativene med kommentarer.
Alternativene er vurdert etter kravene til samtykke, dvs. om samtykket er informert, aktivt, frivillig og spesifikt, se ovenfor om krav til samtykke. Som det vises i alternativene nedenfor, så er disse kravene noe overlappende og mer noe uklare grenser mot hverandre.
Om det gis rødt, gult eller grønt lys i vurderingen av alternativene er kun til veiledning. Gult lys kan imidlertid gis i tilfeller hvor enkelte mener at det er at det bør være rødt, og brukes her for å indikere mellomtilfeller.
I de alternativene som brukes, så er det ulike navn på knappene som benyttes, som f.eks. «OK», «Ja», «Aksepter», «Godta», «I’m fine with that» mv. Avhengig av hva man bruker på cookie-banneret har betydning for hvor spesifikt samtykket skal anses å være. «Akseptere» eller «Godta» vil eksempelvis være klarere enn «OK» eller «Greit». Jeg bruker tekst på knappene for å illustrere at det er ulike løsninger som benyttes.
Rekkefølgen for alternativene følger av vurderingen som er gjort.
Alternative cookie-bannere
«Information only»
Her gis det kun informasjon om bruk av cookies ved at det er en link på nettsiden (ofte nederst på siden). Brukerne må gå inn på linken for å få informasjon om hvilke cookies som brukes, det kan ikke gjøres noen valg om cookies skal aksepteres (dvs. om samtykke gis) eller ikke. Denne løsningen forutsetter ofte at brukeren gjør innstillinger på bruk av cookies i sin nettleser, men slike innstiller er ofte vanskelig tilgjengelig for brukerne og krever at det gjøres innstillinger for hver nettside avhengig av om man ønsker funksjonalitet, analyse, markedsføring mv. på nettsidene, og de enkelte kategorier cookies kan ikke velges på denne måten. Dette var (og er?) den mest normale måten å presentere cookies på før GDPR.
Informert: 🔴 Ingen informasjon i banner, og kun link til cookie-policy. Ikke banner som «påtvinger» brukeren et varsel om at det benyttes cookies.
Aktiv: 🔴 Gis ikke et aktivt samtykke, siden brukeren kan ikke velge om eller hvilke cookies som brukes foruten å eventuelt benytte innstillingene i nettleseren.
Frivillig: 🔴 Ikke frivillig siden cookies brukes uansett.
Spesifikt: 🔴 Ingen mulighet til å velge ulike cookies.
Totalvurdering: 🔴
Passiv aksept
Ved passiv aksept kan cookie-banneret ha ulik grad av informasjon, men kjennetegnes ved at brukeren aksepterer at det brukes cookies ved å gå inn på nettsiden. En slik løsning medfører ikke stor mer enn «Information only» ovenfor, men forutsetter at alle som bruker nettsidene, aksepterer at det brukes cookies.
Informert: 🔴 Kan være lite eller mye informasjon i banner, men det normale er lite informasjon og link til cookie-policy. Banner gir informasjon at cookies brukes, men krever ikke «OK» eller lignende som vil «påtvinge» brukeren å akseptere at det benyttes cookies.
Aktiv: 🔴 Gis ikke et aktivt samtykke, siden brukeren kan ikke velge om eller hvilke cookies som brukes, men «samtykker» til bruk av cookies ved å bruke nettsiden.
Frivillig: 🔴 Ikke frivillig siden cookies brukes uansett.
Spesifikt: 🔴 Ingen mulighet til å velge ulike cookies.
Totalvurdering: 🔴
«Catch all»
Ingen informasjon i banneret, men et hint ved henvisning til cookie-policy. Bruk av «OK» gjør at alle cookies brukes, uten at det er klart hvilke cookies det er uten å gå til cookie-policy. Det kan ikke velges cookies som brukes, og dette alternativet er ikke stort bedre enn «Information only» ovenfor. Det eneste brukeren aksepterer ved å trykke «OK» er at banneret skal gå vekk. Det er mange varianter av denne med ulik tekst på «OK-knappen», som «Akseptert», «Aksepter cookies», «Den er grei», osv. Dette gjelder for de fleste tilfelle hvor det brukes «OK» nedenfor også. Dette er nok det mest brukte cookie-samtykket per i dag etter GDPR trådte i kraft.
Informert: 🔴 Ingen informasjon i banner, og kun link til cookie-policy. Allikevel et banner som «påtvinger» brukeren et varsel om at det benyttes cookies. Må til cookie-policy for å se hvilke cookies som brukes. Uklart hva som ligger i «OK».
Aktiv: 🔴 Det må trykkes «OK», men samtykket er ikke mer aktivt enn at man aksepterer at banneret går vekk.
Frivillig: 🔴 Ikke frivillig siden cookies brukes uansett.
Spesifikt: 🔴 Ingen mulighet til å velge ulike cookies.
Totalvurdering: 🔴
«Catch all» med informasjon
Det gis informasjon i banneret om at alle cookies kan brukes, og «OK» kan derfor bety at alle cookies brukes, dvs. både nødvendige, statistikk, tilpasning og markedsføring. Ingen mulighet for brukeren til å velge hvilke cookies som brukes, og må derfor akseptere bruk av alle cookies slik at samtykke er ikke frivillig.
Informert: 🟡 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Ikke informasjon om hvilke cookies som brukes uten å gå til cookie-policy. Uklart hva som ligger i «OK».
Aktiv: 🔴 Det må trykkes «OK», men samtykket er ikke mer aktivt enn at man aksepterer at banneret går vekk.
Frivillig: 🔴 Ikke frivillig siden cookies brukes uansett.
Spesifikt: 🔴 Kan ikke velge hvilke cookies som brukes.
Totalvurdering: 🔴
«Catch all» og underliggende valg
Det gis ingen informasjon i banneret om at alle cookies kan brukes, men et hint ved henvisning til cookie-policy. Det er derfor uklart hva «OK» betyr uten å gå til cookie-policyen. Brukeren kan velge hvilke cookies som brukes ved å gå på «Flere valg», men kunne vært klarere ved bruk av «Tilpass cookies» eller «Velg cookies».
Informert: 🔴 Ingen informasjon i banner, og kun link til cookie-policy. Allikevel et banner som «påtvinger» brukeren et varsel om at det benyttes cookies, og hint om at det er flere cookies som brukes ved knapp til «Flere valg» (som kunne vært klarere tekst på knapp). Uklart hva som ligger i «OK».
Aktiv: 🔴 Noe aktivt ved at man kan enten akseptere cookies ved å trykke «OK», som fører til at alle cookies benyttet, eller gå på «Flere valg» for å velge hvilke cookies som velger. De fleste vil allikevel velge «OK» her.
Frivillig: 🟡 Delvis frivillig, siden brukeren kan velge om alle cookies brukes, eller gå på underliggende valg. Men krever at det gås til underliggende valg og avvelges boksene pga. opt-out i underliggende valg.
Spesifikt: 🟡 Kan akseptere alle, men må gå til underliggende valg for å velge.
Totalvurdering: 🔴
«Catch all» og underliggende valg med informasjon
Det gis informasjon i banneret om at alle cookies kan brukes, og «OK» kan derfor bety at alle cookies brukes, dvs. både nødvendige, statistikk, tilpasning og markedsføring. Brukeren kan velge hvilke cookies som brukes ved å gå på «Se mer her», men veldig uklart at dette medfører at ulike cookies kan velges (kunne heller være noe slikt som «Tilpass cookies her») Denne varianten misbrukes ofte ved at teksten i banneret er misvisende, ved at f.eks. markedsførings-cookies er ikke nevnt.
Informert: 🔴 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Ikke informasjon om hvilke cookies som brukes uten å gå til cookie-policy. Gis også et hint, men svakt, om at det brukes ulike cookies med link til «Se mer her». Uklart hva som ligger i «OK».
Aktiv: 🟡 Delvisaktiv ved at det gis flere alternativer gjennom «Se mer her», men uklart om det medfører at det er underliggende valg.
Frivillig: 🟡 Delvis frivillig, siden brukeren kan velge kun nødvendige cookies eller gå til underliggende valg. Imidlertid uklart om «Se mer her» betyr at cookies kan velges. Brukeren må imidlertid avvelge cookies ved underliggende valg.
Spesifikt: 🔴 Kan ikke velge hvilke cookies som brukes.
Totalvurdering: 🔴
«Catch all or not»
Det gis ingen informasjon i banneret om at alle cookies kan brukes, men et hint ved henvisning til cookie-policy. Det er derfor uklart hva «Godta alle» betyr uten å gå til cookie-policyen. Brukeren kan bare velge mellom å akseptere alle cookies eller avvise, som medfører at kun nødvendige cookies brukes, og knappen burde vært mer informativ som «Kun nødvendige».
Informert: 🔴 Ingen informasjon i banner, og kun link til cookie-policy. Allikevel et banner som «påtvinger» brukeren et varsel om at det benyttes cookies, og hint om at det er flere cookies som brukes ved knapp til «Godta alle». Men for sistnevnte må man til cookie-policy for å se hvilke dette er.
Aktiv: 🟢 Aktivt ved at man kan enten avvise cookies, som skal ideelt føre til at bare nødvendige cookies benyttet, eller akseptere at alle cookies brukes.
Frivillig: 🟢 Frivillig siden brukeren kan velge avvis slik at kun nødvendige cookies brukes.
Spesifikt: 🔴 Mulig å velge om det er kun nødvendige cookies som brukes, eller om alle cookies skal brukes. Kan ikke velge mellom hvilke andre cookies som skal brukes.
Totalvurdering: 🔴
Alternativer og underliggende valg
Det gis ingen informasjon i banneret om bruk av cookies, men et hint ved henvisning til cookie-policy og bruk av «Tilpass cookies». Det er derfor uklart hva «Godta alle» betyr uten å gå til cookie-policyen. Brukeren kan velge mellom å velge at kun nødvendige cookies brukes, eller velge hvilke cookies som skal brukes ved å velge «Tilpass cookies» eller godta alle cookies (som er uklart hva innebærer siden det ikke er informasjon i banneret).
Informert: 🔴 Kun link til cookie-policy, men allikevel et banner som «påtvinger» brukeren et varsel om at det benyttes cookies. Gis også et hint om at det brukes ulike cookies ved at det er alternativer mellom kun nødvendige cookies, alle cookies og ved henvisning til underliggende valg).
Aktiv: 🟡 Delvisaktiv ved at det gis flere alternativer, og kan velge «Kun nødvendige».
Frivillig: 🟢 Siden brukeren kan velge at kun nødvendige cookies brukes.
Spesifikt: 🟡 Har valg gjennom å sette kun nødvendige cookies, godta alle cookies, men må gå til underliggende valg for å velge mellom de ulike typene cookies.
Totalvurdering: 🟡
«Catch all or not» med informasjon
Det gis informasjon i banneret om at alle cookies kan brukes, og «Godta alle» kan derfor bety at alle cookies brukes, dvs. både nødvendige, statistikk, tilpasning og markedsføring. Brukeren kan også velge at kun nødvendige cookies skal brukes. Ikke mulighet å velge annet enn nødvendig eller alle.
Informert: 🟡 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Ikke informasjon om hvilke cookies som brukes uten å gå til cookie-policy. Gis også et hint om at det er flere cookies som benyttes ved å ha skille mellom «Godta alle» og «Kun nødvendig».
Aktiv: 🟡 Delvis aktivt ved at det kan velges å godta alle cookies eller kun nødvendige. Ikke underliggende valg.
Frivillig: 🟢 Siden brukeren kan velge at kun nødvendige cookies brukes.
Spesifikt: 🔴 Mulig å velge om det er kun nødvendige cookies som brukes, eller om alle cookies skal brukes. Kan ikke velge mellom hvilke andre cookies som skal brukes.
Totalvurdering: 🟡
«Catch all» og underliggende valg med informasjon
Det gis informasjon i banneret om at alle cookies kan brukes, og «Godta alle» kan derfor bety at alle cookies brukes, dvs. både nødvendige, statistikk, tilpasning og markedsføring. Brukeren kan kun velge mellom alle cookies eller tilpasse ved underliggende valg, som krever at brukeren tilpasser selv. Ikke valg i banneret om at kun nødvendige cookies skal brukes.
Informert: 🟡 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Ikke informasjon om hvilke cookies som brukes uten å gå til cookie-policy. Gis også et hint om at det er flere cookies som benyttes ved å ha skille mellom «Godta alle» og «Flere valg». Mer informert at det brukes «Godta alle» i stedet for «OK».
Aktiv: 🟡 Delvisaktivt ved at man kan velge mellom «Godta alle» som medfører at alle cookies brukes, eller «Flere valg», som kan innebære underliggende valg. De fleste vil nok velge «Godta alle» og ikke gå på underliggende valg som krever mer av brukeren
Frivillig: 🟡 Delvis frivillig, siden brukeren kan velge kun nødvendige cookies eller gå til underliggende valg. Brukeren må imidlertid avvelge cookies ved underliggende valg.
Spesifikt: 🟡 Kan akseptere alle, men må gå til underliggende valg for å velge.
Totalvurdering: 🟡
Alternativer og underliggende valg med informasjon
Det gis informasjon i banneret om bruk av cookies, og «Godta alle» kan derfor bety at alle cookies brukes, dvs. både nødvendige, statistikk, tilpasning og markedsføring. Brukeren kan velge mellom at kun nødvendige cookies brukes, alle cookies brukes eller velge hvilke cookies som skal brukes ved å velge «Tilpass cookies».
Informert: 🟡 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Ikke informasjon om hvilke cookies som brukes uten å gå til cookie-policy. Gis også et hint om at det er flere cookies som benyttes ved å ha skille mellom «Godta alle», «Kun nødvendige» og «Tilpass cookies».
Aktiv: 🟡 Delvisaktiv ved at det gis flere alternativer, og kan velges «Kun nødvendige» eller tilpasse ved underliggende valg.
Frivillig: 🟢 Siden brukeren kan velge at kun nødvendige cookies brukes.
Spesifikt: 🟡 Har valg gjennom å sette kun nødvendige cookies, godta alle cookies, men må gå til underliggende valg for å velge mellom de ulike typene cookies.
Totalvurdering: 🟡
Valg i front – opt-out med informasjon
Det gis informasjon i banneret om bruk av cookies. Brukeren kan velge hvilke cookies som skal brukes rett i banneret. Alternativene er trolig der for å gjøre det enklere for brukeren å velge raskt og enkelt. Men alternativene er krysset av på forhånd slik at brukeren må fjerne kryssene (opt-out), hvilket det er trolig at få gjør.
Informert: 🟢 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Det vises i banneret hvilke cookies som brukes.
Aktiv: 🟡 Aktiv at det kan gis flere alternativer som kan velges i front av banneret, men disse er opt-out, som gjør at brukerne må aktivt fjerne hakene i boksene.
Frivillig: 🟡 Brukeren kan velge om alle cookies brukes, og kan også velge hvilke cookies som brukes i front.
Spesifikt: 🟢 Vet hvilke cookies som brukes, siden det fremkommer i banneret.
Totalvurdering: 🟡
Valg i front – opt-out og alternativer med informasjon
Det gis informasjon i banneret om bruk av cookies. Brukeren kan velge hvilke cookies som skal brukes rett i banneret. Alternativene er trolig der for å gjøre det enklere for brukeren å velge raskt og enkelt. Men alternativene er krysset av på forhånd slik at brukeren må fjerne kryssene (opt-out), hvilket det er trolig at få gjør. Flere valg gjøre det enklere for brukeren å velge, ved at det kan velges mellom at kun nødvendige cookies brukes, alle cookies brukes eller velge de cookies som er huket av i banneret ved å velge «Kun valgte» (som er det samme som «Godta alle» og derfor unødvendig).
Informert: 🟢 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Det vises i banneret hvilke cookies som brukes.
Aktiv: 🟡 Aktiv at det kan gis flere alternativer som kan velges i front av banneret, men disse er opt-out, som gjør at brukerne må aktivt fjerne hakene i boksene.
Frivillig: 🟢 Siden brukeren kan velge at kun nødvendige cookies brukes.
Spesifikt: 🟢 Vet hvilke cookies som brukes, siden det fremkommer i banneret.
Totalvurdering: 🟢
Valg i front – opt-in og alternativer med informasjon
Det gis informasjon i banneret om bruk av cookies. Brukeren kan velge hvilke cookies som skal brukes rett i banneret. Alternativene er trolig der for å gjøre det enklere for brukeren å velge raskt og enkelt. Alternativene er ikke krysset av på forhånd, slik at brukeren må krysse av selv hvilke cookies som skal brukes (opt-in). Flere valg gjøre det enklere for brukeren å velge, ved velge de cookies som er huket av i banneret ved å velge «Kun valgte», velge «Kun nødvendige» (som er det samme som «Kun valgte» og derfor unødvendig) eller velge «Godta alle», som medfører bruk av alle cookies.
Informert: 🟢 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Det vises i banneret hvilke cookies som brukes.
Aktiv: 🟢 Aktiv at det kan gis flere alternativer som kan velges i front av banneret, og disse er opt-in, som ikke krever at brukerne må aktivt fjerne hakene i boksene.
Frivillig: 🟢 Siden brukeren kan velge at kun nødvendige cookies brukes.
Spesifikt: 🟢 Vet hvilke cookies som brukes, siden det fremkommer i banneret.
Totalvurdering: 🟢
Valg i front – opt-in med informasjon
Det gis informasjon i banneret om bruk av cookies. Brukeren kan velge hvilke cookies som skal brukes rett i banneret. Alternativene er trolig der for å gjøre det enklere for brukeren å velge raskt og enkelt. Alternativene er ikke krysset av på forhånd, slik at brukeren må krysse av selv hvilke cookies som skal brukes (opt-in). Det er kun knapp for å velge de cookies som er huket av i banneret ved å velge «Kun valgte», velge «Kun nødvendige» (som er det samme som «Kun valgte» og derfor unødvendig) eller velge «Godta alle», som medfører bruk av alle cookies. Brukeren kan velge hvilke cookies som skal brukes rett i banneret. «Nødvendige» cookies kan ikke avvelges, og det viser at å ha «nødvendige» cookies som valg her er ikke nødvendig.
Informert: 🟢 Informasjon i banner som «påtvinger» brukeren et varsel om at det benyttes cookies ved bruk av banner. Det vises i banneret hvilke cookies som brukes.
Aktiv: 🟢 Aktiv at det kan gis flere alternativer som kan velges i front av banneret, og disse er opt-in, som ikke krever at brukerne må aktivt fjerne hakene i boksene.
Frivillig: 🟢 Siden brukeren kan velge at kun nødvendige cookies brukes.
Spesifikt: 🟢 Vet hvilke cookies som brukes, siden det fremkommer i banneret.
Totalvurdering: 🟢
Last ned artikkelen i pdf her:
Mer informasjon / tilbakemelding
Det er ikke mulig å være helt utfyllende her, og det kan være feil, så si gjerne i fra om det er noe som jeg har glemt eller tatt feil, så oppdaterer jeg artikkelen.
Se mer informasjon og ressurser for cookies her.
Artikkelen finnes også på LinkedIn.