Måste cookiebannern ha en avvisa-knapp?
Ingen lag säger ordagrant "bannern ska ha en avvisa-knapp". Men kravkedjan landar där ändå: samtycke ska vara frivilligt, och det ska vara lika lätt att avstå som att ge. En banner där besökaren bara kan acceptera — eller där ett nej kräver tre klick genom inställningsmenyer — samlar inte in giltigt samtycke. Då vilar all spårning som bygger på det samtycket på en grund som inte håller.
Vad säger lagen?
GDPR definierar samtycke som frivilligt, specifikt, informerat och otvetydigt (artikel 4.11). Artikel 7 lägger till kvalitetskraven: det ska vara lika lätt att avstå som att samtycka, och lika lätt att återkalla i efterhand (artikel 7.3). Det är frivillighetskravet som gör avvisa-möjligheten nödvändig — ett val utan nej-alternativ är inget val.
EU-domstolen drog en tydlig gräns i Planet49-domen (C-673/17, 2019): förikryssade rutor är inte giltigt samtycke. Besökaren måste göra ett aktivt val — och då måste båda utfallen gå att välja.
I Sverige delas tillsynen mellan PTS (Post- och telestyrelsen), som övervakar cookieregeln i lagen om elektronisk kommunikation, och IMY (Integritetsskyddsmyndigheten), som övervakar samtyckets giltighet enligt GDPR.
Är en cookie wall tillåten?
En cookie wall är en banner som blockerar hela webbplatsen tills besökaren accepterar — det finns inget sätt att komma in utan att säga ja. Enligt EDPB:s riktlinjer om samtycke (05/2020) gör en sådan konstruktion normalt samtycket ofrivilligt: besökaren har inget verkligt val, och ett ofrivilligt samtycke är ogiltigt.
Konsekvensen är bakvänd men logisk: en cookie wall ger dig inte mer giltig spårning utan mindre — allt som vilar på det framtvingade samtycket vilar på ett samtycke som inte gäller.
Avvisa på första nivån — och dark patterns
EDPB:s cookie banner-taskforce — där de europeiska tillsynsmyndigheterna samordnade sin syn i en rapport i januari 2023 — landade i att flertalet myndigheter anser att en avvisa-möjlighet ska finnas redan på bannerns första nivå. Att gömma nej-alternativet bakom "Inställningar" eller "Läs mer", så att ett nej kräver fler klick än ett ja, kritiseras som en dark pattern i EDPB:s riktlinjer 03/2022.
Samma riktlinjer pekar ut fler knep: avvisa som grå textlänk bredvid en stor färgglad acceptera-knapp, "legitimt intresse" förvalt i bannerns andra lager så att ett nej i första lagret inte stoppar spårningen, och formuleringar som styr mot ja. Franska CNIL har bötfällt storbolag för banners där det var svårare att neka än att acceptera — frågan är alltså inte teoretisk.
Vanliga brister vi ser
- Bannern har bara "Acceptera" och "Inställningar" — inget nej på första nivån, utan flera klick genom menyer för att avvisa.
- Avvisa finns men är en grå eller diskret textlänk medan acceptera är en stor färgknapp — visuellt är valet redan gjort åt besökaren.
- "Legitimt intresse" är förvalt i bannerns andra lager, så att spårning fortsätter även när besökaren nekat samtycke.
- En cookie wall: webbplatsen går inte att använda alls utan att acceptera.
- Det går att neka — men inte att ändra sig: när bannern stängts finns ingen väg tillbaka för att återkalla eller ändra valet.
Så testar CompliantHQ det här
Skannern kontrollerar deterministiskt att bannern har en avvisa-möjlighet över huvud taget — en banner som bara går att acceptera flaggas, eftersom den inte samlar in giltigt samtycke.
Ovanpå det tar skannern en skärmdump av bannern och låter en vision-AI bedöma den som en besökare ser den: är avvisa-alternativet lika framträdande som acceptera-knappen? Storlek, färg, kontrast och placering vägs in — det är just den visuella obalansen som en ren kodgranskning inte ser.
Båda kontrollerna ingår redan i provperioden. Och eftersom skannern också besöker webbplatsen efter ett klick på avvisa, mäter den i samma genomgång om ett nej respekteras tekniskt — att inga cookies sätts och inga spårningsanrop skickas efteråt.
Så åtgärdar du
- Lägg en tydlig avvisa-knapp — "Neka alla" eller "Avvisa alla" — på bannerns första nivå, bredvid acceptera.
- Ge båda alternativen samma visuella vikt: jämförbar storlek, kontrast och placering. En grå textlänk räknas inte som likvärdig.
- Lika många klick för nej som för ja — kräver acceptera ett klick ska avvisa också göra det.
- Ta bort förikryssade kategorier och förvalda "legitimt intresse"-inställningar; ett nej i första lagret ska faktiskt stoppa spårningen.
- Gör det lika lätt att ångra sig: en permanent ingång — till exempel en länk i sidfoten — där besökaren kan ändra eller återkalla sitt val.
Det här ingår i granskningen
- Att cookie-bannern har en avvisa-möjlighet — en banner som bara går att acceptera samlar inte in giltigt samtycke.
- Att avvisa-alternativet är lika framträdande som acceptera-knappen — bedöms visuellt på en skärmdump av bannern.
Vanliga frågor
Måste cookiebannern ha en avvisa-knapp på första nivån?
Flertalet europeiska tillsynsmyndigheter anser det, enligt EDPB:s cookie banner-taskforce. Och oavsett knappens exakta placering: ett samtycke som är märkbart svårare att neka än att ge riskerar att vara ogiltigt.
Är en cookie wall tillåten?
Normalt inte. Enligt EDPB:s riktlinjer 05/2020 gör en banner som tvingar besökaren att acceptera för att alls komma in samtycket ofrivilligt — och därmed ogiltigt.
Räcker en "Inställningar"-länk som avvisa-möjlighet?
Det är riskabelt. När ett nej kräver fler klick än ett ja kritiseras det som en dark pattern av tillsynsmyndigheterna, och franska CNIL har bötfällt bolag för just den konstruktionen.
Måste avvisa-knappen se exakt likadan ut som acceptera-knappen?
Kravet är att det ska vara lika lätt att avstå som att samtycka — inte pixelidentiska knappar. Jämförbar storlek, kontrast och placering är det säkra sättet att uppfylla det; en grå länk bredvid en färgknapp är det inte.
Vill du se vad vi hittar på din webbplats?
Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.