YouTube, kartor och inbäddningar — kräver de samtycke?
En inbäddad YouTube-video, en Google Maps-karta på kontaktsidan, ett socialt flöde i sidfoten — det känns som innehåll, inte som spårning. Men tekniskt laddas inbäddningen från tredjepartens servrar, och ofta sätter den cookies i besökarens webbläsare redan när sidan öppnas — innan besökaren ens rört cookiebannern. Då har webbplatsen samlat in data utan samtycke, oavsett hur korrekt bannern i övrigt är. Och ansvaret ligger inte på YouTube eller Google — det ligger på webbplatsen som bäddar in.
Vad säger lagen?
Grundregeln finns i ePrivacy-direktivets artikel 5.3, i svensk rätt 9 kap. 28 § lagen om elektronisk kommunikation: att lagra eller läsa information i besökarens utrustning kräver samtycke, utom när det är strikt nödvändigt för den tjänst besökaren själv begärt. Regeln är teknikneutral — den gäller cookies oavsett om de sätts av ett analysskript eller en inbäddad videospelare.
Samtycket ska dessutom uppfylla GDPR:s krav — frivilligt, specifikt, informerat och otvetydigt (artikel 4.11) — och ges innan lagringen sker. En cookie som sätts vid sidladdning, före något val i bannern, har per definition satts utan samtycke.
Att cookien kommer från youtube.com eller google.com ändrar inte ansvaret. Det är webbplatsen som valt att bädda in innehållet och därmed släppt in tredjeparten — ansvaret för vad som laddas före samtycke ligger hos den som äger sidan.
Varför sätter en inbäddning cookies?
En inbäddning är i regel en iframe — en webbsida inuti webbsidan, som laddas direkt från tredjepartens domän. När webbläsaren hämtar den kan tredjeparten sätta och läsa cookies, precis som om besökaren hade besökt deras webbplats. En vanlig YouTube-inbäddning, en Google Maps-iframe eller en social media-widget gör ofta just det redan vid sidladdningen.
Det räcker alltså inte att besökaren aldrig spelar upp videon eller klickar i kartan — själva laddningen är det som utlöser cookie-sättningen. Och bannern hjälper bara om inbäddningen faktiskt är kopplad till den: en iframe som ligger direkt i sidans kod laddas oavsett vad besökaren svarar.
Räcker YouTubes privacy-enhanced mode?
YouTube erbjuder ett "privacy-enhanced mode" via domänen youtube-nocookie.com, som skjuter upp cookie-sättningen tills besökaren startar uppspelningen. Det är ett klart bättre läge än standardinbäddningen — men lita inte på namnet. Kontrollera beteendet på din egen sida: det är vad som faktiskt laddas och lagras som räknas.
Det säkraste mönstret är en tvåklickslösning, ibland kallad fasad: sidan visar en stillbild eller platshållare, och själva iframen laddas först när besökaren klickar. Ett alternativ med samma effekt är att låta samtyckesverktyget (CMP:n) blockera iframes tills besökaren godkänt rätt kategori — då styr samtycket laddningen, inte tvärtom.
Vanliga brister vi ser
- En YouTube-video är inbäddad med standardkoden från youtube.com — cookies sätts så fort sidan laddas, oavsett vad besökaren svarar i bannern.
- En Google Maps-karta på kontaktsidan laddas före samtycke — en av webbplatsens mest besökta sidor.
- Sociala flöden och delningswidgets i sidfot eller sidopanel laddar tredjepartsinnehåll på varje sida där de visas.
- Samtyckesverktyget blockerar skript men inte iframes — bannern ser korrekt ut, men inbäddningarna slinker förbi.
- Privacy-enhanced mode används, men ingen har kontrollerat vad som faktiskt laddas — antagandet har ersatt mätningen.
Så testar CompliantHQ det här
Skannern besöker dina sidor i en riktig webbläsare utan att röra cookiebannern och mäter vilka tredjeparts-iframes som laddas före samtycke. Det är en deterministisk mätning av faktiskt beteende — inte en gissning utifrån vilka verktyg sidan verkar använda.
Laddas en video-, kart- eller annan inbäddning innan besökaren fått välja flaggas den, så att du ser vilka inbäddningar det gäller. Kontrollen ingår redan i provperioden.
Så åtgärdar du
- Använd en tvåklickslösning: visa en stillbild eller platshållare och ladda iframen först när besökaren klickar — då sker laddningen på besökarens initiativ.
- Eller låt samtyckesverktyget blockera iframes tills rätt kategori godkänts — många verktyg har stöd för det via en ändrad inbäddningskod.
- För YouTube: byt till privacy-enhanced mode (youtube-nocookie.com) som ett första steg — och verifiera sedan att inga cookies sätts före uppspelning.
- För kartor: överväg en statisk kartbild som länkar vidare till karttjänsten — en kontaktsida behöver sällan en interaktiv karta före samtycke.
- Mät om efter ändringen: det är det faktiska beteendet i webbläsaren som räknas, inte vad inbäddningskoden ser ut att göra.
Det här ingår i granskningen
- Att inga tredjeparts-iframes (video, kartor, inbäddningar) laddas före samtycke.
Vanliga frågor
Får jag bädda in en YouTube-video utan samtycke?
Inte om inbäddningen lagrar eller läser något i besökarens webbläsare före samtycke — och det gör standardinbäddningen ofta redan vid sidladdning. Blockera iframen tills samtycke getts, använd en tvåklickslösning, eller använd privacy-enhanced mode och verifiera beteendet.
Räcker youtube-nocookie.com (privacy-enhanced mode)?
Det är ett bra steg: cookie-sättningen skjuts upp tills uppspelningen startar. Men lita inte på namnet — kontrollera vad som faktiskt laddas på din sida. Det säkraste mönstret är en tvåklickslösning eller att samtyckesverktyget blockerar iframen tills besökaren samtyckt.
Vem bär ansvaret — min webbplats eller Google?
Webbplatsen som bäddar in. Det är du som släppt in tredjepartens innehåll på din sida, och därmed du som ansvarar för att inget lagras i besökarens webbläsare före samtycke.
Gäller samma regler Google Maps och sociala flöden?
Ja. Regeln är teknikneutral: lagring och avläsning i besökarens utrustning kräver samtycke om den inte är strikt nödvändig — oavsett om den kommer från en videospelare, en karta eller ett socialt flöde.
Vill du se vad vi hittar på din webbplats?
Kör en gratis skanning — alla fyra moduler ingår i 30 dagar, inget betalkort krävs.