Vad gäller för cookies på en webbsajt?

Detta är en spännande och lite styvmoderligt behandlad fråga kan vi tycka. Det handlar om viktiga saker som att få en sajt att fungera smidigt för användaren och samtidigt om integritet och datalagring.

Vad är en cookie?

Det kanske de flesta vet idag, men vi tar det ändå. En cookie är en liten textfil som sparas av webbläsaren och lagras på användarens dator. En webbsajt eller applikation kan hämta cookies från webbläsare vid ett nytt besök så att de kan känna igen besökaren, komma ihåg hens inställningar och ge en bättre upplevelse. I allmänhet innehåller cookies inte någon information för att identifiera en enskild person, utan används för att känna igen en webbläsare på en enskild enhet (t ex en dator eller en mobil).

I huvudsak finns det två sorters cookie, tidsbestämda cookies och sessionscookies.  De tidbestämda sparas under en längre tid och används bland annat för att kunna visa besökaren nytt innehåll vid nästa besök. Sessionscookies raderas när man lämnar en webbplats och stänger ner webbläsaren och används till exempel för att komma ihåg vilket språk som valts så att man slipper byta språk på varje sida.

Varför behövs cookies?

Cookies används för att ge besökare av webbplatser en bättre upplevelse och många bra funktioner  fungerar tack vare cookies, exempelvis:

  • Inloggningar (tänk att behöva logga in på nytt på varje ny sida under ett besök) 
  • Språkval (ganska jobbigt att hela tiden hamna på huvudspråket när man redan gjort ett val)
  • Statistik (hur ska man veta vad besökarna besöker, vad de gör och var de kommer ifrån annars?)
  • Varukorgar, beställningslistor och favoriter
  • Omröstningar
  • Personalisering och anpassning av utseende och funktioner
  • Skräddarsydd annonsering (sådan cookies är ofta så kallade tredjepartskakor och kommer från någon annan än den som är ansvarig för webbsajten)

Kan man ta bort eller stänga av cookies?

Även om man vanligtvis säger att cookies inte är skadligt är det viktigt att tänka på att cookies faktiskt ger webbplatser möjlighet att under vissa förutsättningar kartlägga aktiviteter på nätet, vilket man ses som  ett intrång i den personliga integriteten. Avlyssning och förfalskning av kakor kan också användas i brottsligt syfte till exempel för obehörig inloggning, obehörig modifiering av innehåll, felaktig statistik och obehörig röstning. (Här bör man skydda känslig kommunikation med kryptering och använda starka lösenord). En Flash-presentation (till exempel en Youtube-video) som ligger på en webbplats kan ha hämtats från en annan webbplats och ägaren till presentationen kan då registrera besök på alla sidor som lagt upp videon på sina webbplatser och koppla samman informationen (även om du som användare blockerat användningen av cookies i din egen webbläsare).

Man kan alltid välja att radera alla sparade cookies i webbläsaren via inställningarna för denna. Man kan också i de flesta webbläsare välja att blockera cookies - men då kanske inte allt fungerar på bästa sätt på alla sajter (t ex behövs cookies för många e-handlar för att spara produkter i varukorgen).

Eftersom tredjepartscookies gör att man kan skapa mer heltäckande kartläggningar av en användares vanor betraktas de som känsligare ur ett integritetsperspektiv. Därför kan man i de flesta webbläsare ställa in så att tredjepartscookies inte accepteras, medan andra typer av cookies är tillåtna.

Här finns en bra beskrivning av hur man kan tömma eller stänga av cookies i olika webbläsare.

Vad gäller för hantering av cookies på en webbsajt?

Alla som besöker en webbplats med cookies ska få information om att webbplatsen innehåller cookies, vem eller vilka som information utbyts med och syftet med användningen av cookies innan man börjar använda sajten eller tjänsten. Användaren ska också ge sitt samtycke till att det används cookies innan de lagras eller hämtas.

Användandet av cookies regleras även genom dataskyddsförordningen (GDPR), som Datainspektionen är tillsynsmyndighet över. Mer information om dataskyddsförordningen finns på Datainspektionens webbplats

Enligt Webbriktlinjer ska samtycket vara individuellt, frivilligt och särskilt. Kravet på att samtycket ska vara särskilt innebär att ett generellt samtycke till behandling av uppgifter inte kan godtas. Samtycket ska gälla behandling för ett eller flera preciserade ändamål. 

Det finns inte en generell teknisk lösning och inte heller en generellt text för att informera om eller hämta in samtycke som passar alla. Det är upp till varje  webbplatsägare att i varje enskilt fall bedöma vad som fungerar för sin egen webbsajt.

Goda exempel

Vår tolkning är att man tydligt bör redovisa vilka cookie man använder, varför och till vad och få aktivt samtycke från sina besökare (till skillnad från passivt som var godtagbart tidigare), dvs: 

  • Aktiv och specifikt samtycke, endast vitala cookies får vara pre-checked och aktiverade innan samtycke är givet
  • Livstid per cookie måste deklareras
  • Information om cookien kan tillgås av tredjepart eller inte

Det betyder att tjänsten vi använder oss av aktivt måste blocka alla cookies som finns på en webbsajt, inklusive tredjeparts. De enda som får vara föraktiverade är cookies som behövs för att man ska kunna använda sajten över huvud taget (om det finns sådana).

Europeiska Unionens Domstol har en cookielösning som imponerar. Du kan välja vilka cookies du vill acceptera, och om du stöter på något innehåll på en sida som behöver en cookie du inte accepterat får du möjlighet att ändra dig precis där den behövs.

Frågor och svar om cookies

Vill du veta vilka cookies din webbsajt har? Fråga oss om det är vi som utvecklat den, eller kolla sajten i olika verktyg som Myndigheten för Digital Förvaltning har samlat ihop.

Vill du veta ännu mer? Läs gärna mer hos till exempel Post och Telestyrelsen här.