Kakor (cookies)

EU:s direktiv om cookies (en del av ePrivacy directive) anger sedan 2009 att webbplatser som använder cookies måste kommunicera detta till besökare, och ge dem ett sätt att välja bort cookies.

Enligt GDPR, eller Dataskyddsförordningen, så faller cookies under reglerna för personuppgifter som ska skyddas. Läs mer om hur GDPR och ePrivacy directive tillsammans sätter ramarna för cookie-hantering.


Innehåll


Om cookies

De två huvudsakliga kategorierna av cookies är:

  • Förstaparts-cookies som placeras av den egna webbplatsen. 

  • Tredjeparts-cookies som placeras av någon annan än den egna webbplatsen. Ofta är det till exempel Google (Youtube, Analytics) eller Facebook.

Cookies kan vara aktiva olika länge:

  • En sessions-cookie försvinner efter att besökaren lämnar webbplatsen.

  • En persistent cookie finns sparad så länge som det är definierat i cookien själv. Eller tills dess att den manuellt raderas från den egna datorn.

Det finns generellt fyra typer av cookies:

  • Nödvändiga cookies. Behövs ofta för att identifiera användare under en session för att tillåta att varor läggs i en kundvagn, eller för att bibehålla en inloggad session. Det här är den enda typen som inte behöver besökarens samtycke.

  • Funktionalitets-cookies. Sparar användares preferens och tidigare val.

  • Prestanda-cookies. Används för att förstå och förbättra hur en webb fungerar. Till exempel spårning av besök, klick, fel, sökfraser och annan analysdata. Skiljer sig från annons-cookies genom att de inte delas med andra aktörer.

  • Annons-cookies. Dessa är oftast tredjepartscookies. De används ofta för att spåra en persons rörelser över flera olika webbplatser, för att bland annat förstå intressen och visa riktade annonser.

Du måste få besökarens giltiga samtycke för att använda cookies. Det innebär att de gör ett aktivt val och att du har skäl att tro att de förstår vad de väljer.

Att tänka på

  • Du behöver inte be om samtycke för nödvändiga cookies, men det bör finnas information om att de används, och vad de används till.

  • Om flera typer av cookies används är det rimligt att erbjuda besökaren möjlighet att “stänga av” eller tillåta för vare typ.

  • Om användaren stänger av en cookie-typ så måste dessa kunna blockeras om det är från tredje part.

  • Det är inte tillräckligt att be användaren att själv radera eller blockera cookies.

Vanliga fallgropar

  • Många skript som placerar cookies på besökarens dator är kodade så att de laddas när sidan laddas. Ofta blir det alltså för sent för besökaren att säga nej till cookies, då de redan placerats. Utmaningen är att säkerställa att  icke-nödvändiga cookies inte alls placerats förrän besökaren aktivt gett sitt samtycke.

  • Ett sätt att hålla reda på besökarens preferenser är förstås med sessions-cookies. Dessa kan absolut ses som nödvändiga.

  • Inbäddat innehåll (embedded content) från andra webbplatser innebär ofta att cookies placeras och spårning sker. Till exempel om man bäddar in en YouTube-film på sin webbplats. Om besökaren inte tillåter annons-cookies så måste filmen spärras. Den kan till exempel spärras med en varning om att om man spelar filmen så används cookies från den webbplatsen. Besökaren kan alltså i sammanhanget tillåta cookies för en specifik funktion.

Tumregler och rekommendationer

  • Om cookien inte behövs, utgå ifrån att besökaren inte tillåter den.

  • Fråga om lov (samtycke) i samband med att du vill använda en cookie, och förklara varför det är av värde för besökaren att tillåta den.

  • Genom att endast aktivera olika typer av cookies i samband med att de behövs (som i exemplet med YouTube-filmen) så slipper du överväldiga besökaren med många frågor så fort de kommer in på sajten.

När många arbetar med en webbtjänst kan det ibland vara värt att använda en tredjeparts-lösning som blockerar alla cookies till dess att de godkänts. Cookie Pro är den lösning som Inera har valt. Det finns aktiv förvaltning men det saknas just nu en lösning för att dela kostnad. Plattformsprojektet PWT vet mer. Kontaktperson, @Gustaf Rosander .