Ser ingen verdi i tredjeparts cookie­-bannere: – Lag det selv!

– På tiden man bruker på å anskaffe, konfigurere og implementere disse, kunne man antagelig ha laget sitt eget cookie-banner, sier personvern-ekspert Hans Kristian Henriksen.

Hans Kristian Henriksen i Bekk mener de fleste bør kunne lage sine egne cookie-bannere. 📸: Ole Petter Baugerød Stokke / Privat
Hans Kristian Henriksen i Bekk mener de fleste bør kunne lage sine egne cookie-bannere. 📸: Ole Petter Baugerød Stokke / Privat Vis mer

Fra og med 1. januar i år kom det nye nye regler for bruk av cookies (informasjonskapsler).

Med de nye reglene har jurister, personverneksperter og mange andre fått mer å gjøre – men hva betyr det egentlig for utviklere?

Vi spurte en ekspert – Hans Kristian Henriksen i Bekk, som blant annet står bak spalten "Personvernnytt".

– For utviklere handler dette i stor grad om å teknisk klare å legge til rette for å oppfylle reglene. Vi må sørge for at vi vet hvilke deler av koden vår som behandler personopplysninger og setter cookies, slik at vi kan styre at denne ikke kjøres før vi har det nødvendige samtykket, sier Henriksen til kode24.

Han legger til at det også er viktig at utviklere hjelper ledere og jurister med å forstå hva koden de skriver faktisk gjør – slik at lederne og juristene kan ta de rette avgjørelsene.

Bygg banneret selv

I utgangspunktet bør ikke de nye cookiereglene være spesielt vanskelig å implementere rent teknisk, mener Henriksen.

– Vent med å sette cookies og laste tredjeparts-script som behandler personopplysninger før det er gitt samtykke, så er du i mål.

– Det har oppstått en helt egen økonomi rundt det å lage cookiebanner-løsninger, og mange løsninger er ganske kostbare?

– Jeg ser i utgangspunktet lite verdi med disse tredjepartsløsningene. På tiden man bruker på å anskaffe, konfigurere og implementere disse, kunne man antagelig ha laget sitt eget cookiebanner, sier Henriksen.

Han sier det ikke er noen "magi" i den tekniske implementasjonen av et cookiebanner.

– Man skal bare sørge for å ikke sette cookies før man har et samtykke. Dersom man har tredjepartskode som setter cookies, så må man vente med å laste denne koden til samtykke foreligger.

Henriksen legger til at tredjeparts cookiebannere ofte tilbyr lagring av samtykket, altså en mulighet til å dokumentere at samtykke har funnet sted.

– Det er man pålagt å ha etter GDPR. For noen kan det kanskje være en verdi at det håndteres av en tredjepart, men de fleste vil nok kunne implementere dette ganske enkelt selv.

«Jeg ser i utgangspunktet lite verdi med disse tredjepartsløsningene.»

Må uansett kjenne kravene

– Hva må utviklere som vil lage sin egen cookie-bannerløsning tenke på?

– Jeg tenker at man gjerne kan lage dette selv, siden man uansett må sette seg inn i kravene til utforming og informasjon om man bruker en tredjepartsløsning.

Det er blant annet viktig at informasjonen er tydelig, og at det er like lett å si nei som ja.

– Så lenge utformingen ikke «lurer» brukeren på noen måte til å velge et alternativ over et annet, så har man kommet veldig langt.

Ditt ansvar, uansett

Henriksen sier at selv om man skulle velge å sette bort cookiebanneret til en tredjepart, så fritar det deg ikke for ansvar.

– Du er ansvarlig for din egen nettside, og den teknologien du velger. Så om tredjepartsløsningen din ikke oppfyller kravene, så er det fortsatt ditt problem, advarer han.

Hvis det skulle skje at en teknisk feil hos leverandøren gjør at du bryter loven, mener Henriksen det bør være rom i kontrakten med leverandøren om at man kan kreve erstatning for evtentuelle bøter og annen skade.

– Det bør man undersøke før man tar i bruk et slikt verktøy.