Cookies och spårning före samtycke — vad är tillåtet?
Får webbplatsen sätta cookies innan besökaren svarat i bannern? Huvudregeln är nej — allt som inte är strikt nödvändigt för tjänsten kräver samtycke först. Regeln gäller inte bara cookies utan all lagring och avläsning i besökarens utrustning: localStorage, spårningspixlar och fingerprinting-tekniker bedöms likadant. Och kravet slutar inte vid bannern — ett "neka alla" ska också respekteras i praktiken, inte bara registreras.
Vad säger lagen?
Grundregeln kommer från ePrivacy-direktivets artikel 5.3, i Sverige genomförd i lagen om elektronisk kommunikation (LEK) 9 kap. 28 §: att lagra information i besökarens utrustning, eller läsa information som redan finns där, kräver samtycke. Undantaget är sådant som är strikt nödvändigt för att leverera den tjänst besökaren själv begärt. Tekniken spelar ingen roll — cookies, localStorage, pixlar och fingerprinting omfattas lika.
Vad som räknas som giltigt samtycke styrs av GDPR: det ska vara frivilligt, specifikt, informerat och otvetydigt (artikel 4.11), och det ska vara lika lätt att avstå som att ge (artikel 7). EU-domstolen slog fast i Planet49-domen (C-673/17, 2019) att förikryssade rutor inte duger — besökaren måste göra ett aktivt val. Tills det valet är gjort gäller huvudregeln: inga icke-nödvändiga cookies, inga spårningsanrop.
I Sverige delas tillsynen: PTS (Post- och telestyrelsen) övervakar cookieregeln i LEK, och IMY (Integritetsskyddsmyndigheten) övervakar GDPR-delen när spårningen behandlar personuppgifter — vilket den i praktiken nästan alltid gör.
Vilka cookies får sättas utan samtycke?
Strikt nödvändiga cookies får sättas direkt: sessionscookies som håller besökaren inloggad, varukorgen i en webbutik, språkval, säkerhets- och lastbalanseringscookies. Gemensamt för dem är att tjänsten besökaren bett om inte fungerar utan dem.
"Nödvändig" är en juridisk bedömning, inte en etikett du själv väljer i samtyckesverktyget. Analyscookies är det tydligaste exemplet: statistiken kan kännas nödvändig för verksamheten, men den är inte nödvändig för att leverera tjänsten till besökaren — alltså kräver den samtycke. En "nödvändiga"-kategori som innehåller analys- eller marknadsföringscookies gör hela samtyckeslösningen missvisande.
Iframes och inbäddat innehåll
Inbäddade videoklipp, kartor och flöden från sociala medier är en kanal som är lätt att missa. En vanlig YouTube- eller Google Maps-iframe sätter ofta tredjepartscookies redan när sidan laddas — innan besökaren ens hunnit se bannern. Att innehållet kommer från någon annan ändrar inte ansvaret: det är din webbplats som läser in det.
Lösningen är att inte ladda iframen förrän besökaren samtyckt — antingen via samtyckesverktygets blockering eller med en tvåklickslösning (fasad): en stillbild eller platshållare visas först, och själva inbäddningen laddas när besökaren klickar.
Vanliga fel vi mäter upp
- Google Tag Manager eller GA4 laddar före banner-svaret — taggarna fyrar på första sidvisningen, oavsett vad besökaren sedan väljer.
- Spårningsanrop går iväg trots att besökaren klickat "neka alla" — bannern registrerar valet men styr inte vad som faktiskt körs.
- Cookies sätts efter avvisat samtycke, ofta av skript som ligger utanför samtyckesverktygets kontroll.
- Iframes från video, kartor och sociala medier laddas direkt vid sidladdning, med tredjepartscookies som följd.
- Kategorin "nödvändiga" innehåller analyscookies — de sätts då alltid, både före och efter ett nej.
Så testar CompliantHQ det här
Skannern besöker webbplatsen i en riktig webbläsare i tre lägen: utan att röra bannern, efter ett klick på avvisa, och efter ett klick på acceptera. I varje läge mäter den vilka cookies som faktiskt sätts och vilka nätverksanrop som faktiskt skickas — en deterministisk mätning av verkligt beteende, inte en självdeklaration från samtyckesverktyget.
Du ser om icke-nödvändiga cookies sätts före samtycke, om spårningsanrop till tredje part skickas innan besökaren svarat, om tredjeparts-iframes laddas direkt — och om ett nej faktiskt respekteras. Mätningen ingår redan i provperioden.
Så åtgärdar du
- Ladda spårningsskript först efter samtycke — via samtyckesverktygets blockering (automatisk eller manuell taggning) eller med korrekt konfigurerad Consent Mode för Googles taggar.
- Kontrollera laddningsordningen: samtyckesverktyget måste hinna före Tag Manager och övriga taggar, annars fyrar de innan blockeringen finns på plats.
- Byt direktinbäddade iframes mot en tvåklickslösning, eller låt samtyckesverktyget hålla dem blockerade tills besökaren samtyckt.
- Städa kategorierna: bara strikt nödvändiga cookies i "nödvändiga". Analys och marknadsföring kräver samtycke.
- Verifiera efter varje ändring med en faktisk mätning — i webbläsarens nätverksflik eller med en ny skanning. Konfigurationen kan ljuga; trafiken gör det inte.
Det här ingår i granskningen
- Att inga icke-nödvändiga cookies sätts innan besökaren gett samtycke.
- Att inga cookies sätts efter att besökaren avvisat samtycke.
- Att inga spårningsanrop till tredje part (analys, annonsering) skickas före samtycke.
Vanliga frågor
Får man sätta cookies innan besökaren gett samtycke?
Bara cookies som är strikt nödvändiga för den tjänst besökaren begärt — inloggning, varukorg, säkerhet. Allt annat, inklusive analyscookies, kräver samtycke först.
Gäller samtyckeskravet även localStorage, pixlar och fingerprinting?
Ja. Regeln i LEK gäller lagring av och åtkomst till information i besökarens utrustning, oavsett teknik. Att byta cookies mot localStorage eller fingerprinting ändrar ingenting.
Räknas analyscookies som nödvändiga?
Nej. De kan vara värdefulla för dig, men de är inte nödvändiga för att leverera tjänsten till besökaren — alltså kräver de samtycke. Det gäller även om de ligger i en kategori som döpts till "nödvändiga".
Vi har en cookie-banner — räcker inte det?
Bara om den faktiskt styr vad som laddas. Ett av de vanligaste felen vi mäter upp är att bannern finns men taggarna fyrar ändå — före svaret, eller trots ett nej. Mät det verkliga beteendet, inte bannerns närvaro.
Vill du se vad vi hittar på din webbplats?
Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.