Hoppa till innehållet

Är en gratis cookie-banner tillräcklig?

En gratis cookie-banner kan vara en bra teknisk byggsten, men räcker sällan som komplett samtyckeslösning.

Många gratislösningar och open source-bibliotek kan visa en dialog, spara besökarens val i webbläsaren och ge utvecklare möjlighet att villkora vissa script mot samtycke. Det kan vara användbart.

Men om samtycke används behöver webbplatsägaren också kunna visa att samtycke har lämnats. Det är här många enklare lösningar blir begränsade.

Att spara ett val lokalt i besökarens webbläsare är inte alltid samma sak som att kunna visa vilket samtycke som lämnades, när det lämnades och vilken information som gällde vid tillfället.

Vad en gratis cookie-banner ofta kan hjälpa till med

En gratis cookie-banner kan ofta hantera den synliga delen av samtyckesflödet.

Det kan till exempel handla om att:

  • visa en cookie-dialog och låta besökaren göra ett val
  • spara valet i webbläsaren
  • dela upp cookies i kategorier
  • ge utvecklare events eller callbacks
  • villkora inläsning av vissa script baserat på besökarens val

Det kan vara en bra grund för den tekniska implementationen. Men det betyder inte att hela samtyckesprocessen är löst.

Bevisbart samtycke är avgörande

När samtycke används behöver webbplatsägaren kunna visa att samtycke har lämnats.

Det innebär att lösningen bör ge stöd för dokumentation av samtycket. Det kan till exempel handla om vilket val som gjordes, när valet gjordes, vilka kategorier samtycket omfattade och vilken information som gällde vid tillfället.

Om samtycket bara sparas i en cookie, localStorage eller annan lokal lagring i besökarens webbläsare kan det vara svårt att visa samtycket i efterhand.

Det är inte nödvändigtvis ett problem för att komma ihåg besökarens val på webbplatsen. Men det är en svaghet om webbplatsägaren behöver visa att samtycke faktiskt har lämnats.

Kategorierna behöver vara genomtänkta

En cookie-banner behöver inte alltid ha många val. Men om webbplatsen använder cookies för olika ändamål behöver besökaren kunna förstå och ta ställning till dem på ett tydligt sätt.

Det räcker därför sällan med ett generellt val för alla cookies, till exempel “Acceptera” eller “OK”. Nödvändiga cookies behöver särskiljas från cookies för ökad funktionalitet, statistik och marknadsföring.

Webbplatsägaren behöver informera besökaren om de nödvändiga cookies som sätts. För de andra kategorierna behöver webbplatsägaren ta ställning till vilka cookies som hör hemma var och vilket samtycke som krävs för olika ändamål. Syftet är att besökaren ska kunna göra ett medvetet val, inte bara klicka sig förbi en banner.

Script behöver villkoras korrekt

En cookie-banner gör ingen större nytta om script som kräver samtycke ändå körs direkt.

Script som hör till cookies för ökad funktionalitet, statistik eller marknadsföring behöver villkoras mot rätt kategori av samtycke. Ett script som används för marknadsföring ska alltså inte bara beskrivas i rätt kategori, utan också villkoras tekniskt mot den kategorin. Scriptet ska inte läsas in förrän besökaren har lämnat ett samtycke som omfattar ändamålet.

Det gäller till exempel script för utökade funktioner, analysverktyg inom statistik, annonseringspixlar och andra tredjepartstjänster som använder cookies för ändamål som kräver samtycke.

Gratislösningar kan ofta ge tekniska möjligheter att villkora script. Men webbplatsägaren behöver fortfarande säkerställa att implementationen är korrekt på hela webbplatsen.

Det gäller även script som läggs till senare via CMS, Google Tag Manager, plugins, kampanjer eller externa leverantörer.

Cookielistan behöver följas upp

En cookielista behöver spegla de cookies som webbplatsen faktiskt använder.

Det räcker inte att inventera cookies en gång och sedan utgå från att informationen fortsätter att stämma. Nya cookies kan tillkomma när webbplatsen förändras, till exempel genom nya formulär, inbäddade tjänster, marknadsföringsverktyg, analysverktyg eller tredjepartsscript.

Automatisk scanning kan hjälpa till att upptäcka cookies, men den ersätter inte webbplatsägarens ansvar att granska och komplettera informationen.

När webbplatsen förändras behöver ni därför följa upp om nya cookies har tillkommit och om informationen till besökaren behöver uppdateras.

Om en gratis cookie-banner inte hjälper till med inventering, uppföljning eller dokumentation behöver webbplatsägaren ha en annan rutin för det.

Återkallelse behöver fungera i praktiken

Besökaren ska kunna ändra eller ta tillbaka sitt samtycke.

Det innebär att cookie-dialogen behöver kunna öppnas igen enkelt, till exempel via en tydlig länk i sidfoten. Besökaren ska enkelt kunna ändra sitt val.

När besökaren ändrar sitt val behöver webbplatsen också anpassa sig efter det nya valet.

I praktiken handlar det framför allt om att stoppa framtida script och behandling som kräver samtycke. Cookies som webbplatsen själv kan radera bör raderas där det är tekniskt möjligt.

När kan en gratis cookie-banner vara en rimlig byggsten?

En gratis cookie-banner kan vara en rimlig byggsten om ni har teknisk kompetens, få tredjepartstjänster och tydliga rutiner för allt som lösningen inte hanterar själv.

Det betyder att ni själva behöver kunna säkerställa att:

  • samtycke kan dokumenteras och visas i efterhand
  • kategorierna är genomtänkta och kopplade till rätt script
  • script som kräver samtycke villkoras mot rätt samtyckeskategori
  • besökaren kan neka, ändra och ta tillbaka samtycke
  • cookielistan följs upp och kompletteras när webbplatsen förändras eller nya cookies upptäcks

Utan de delarna är det oftast bara bannerdelen som är löst.

Gratis är inte fel, men ansvaret finns kvar

Det finns inget fel i att använda ett gratisverktyg eller ett open source-bibliotek. För rätt organisation kan det vara en bra teknisk komponent.

Men det är viktigt att se verktyget för vad det är. Ofta hjälper det till med dialogen och delar av scriptstyrningen. Det ersätter inte automatiskt en komplett process för samtyckeshantering.

Webbplatsägaren behöver fortfarande säkerställa att samtycke kan dokumenteras, att kategorier och information är korrekta och att webbplatsens script följer besökarens val.

Sammanfattning

En gratis cookie-banner kan vara en bra byggsten, men den räcker sällan som komplett samtyckeslösning.

Den kan hjälpa till att visa en dialog, spara val i webbläsaren och ge tekniska möjligheter att villkora inläsning av script. Men om samtycke används behöver webbplatsägaren också kunna visa att samtycke har lämnats.

Den avgörande frågan är därför inte bara om bannern visas.

Frågan är om lösningen hjälper er att:

  • dokumentera och visa samtycke i efterhand
  • hantera kategorier och villkora script mot rätt samtyckeskategori
  • låta besökaren neka, ändra och ta tillbaka sitt val
  • hålla informationen om cookies uppdaterad
  • upptäcka och följa upp nya cookies när webbplatsen förändras

Gratis cookie-banners kan ofta lösa dialogen. De löser inte automatiskt bevisbördan eller hela samtyckeshanteringen.