Är din cookiebanner laglig? Krav, risker och lösning

De flesta svenska cookiebanners följer inte lagen — så vi byggde en som gör det

De flesta svenska cookiebanners följer inte lagen — oftast laddas spårning innan besökaren samtyckt. Vi reder ut vad lagen kräver och vilka riskerna är, och lanserar vår första tjänst: en cookiebanner som gör rätt från start.

Nästan alla svenska webbplatser har en cookiebanner i dag. Problemet är att de flesta av dem inte håller juridiskt — och de allra flesta som driver sajterna vet inte om det.

När vi på ZORC gick igenom hundratals svenska företagswebbplatser såg vi samma mönster om och om igen. Bannern dyker upp, ser proper ut, har en snygg "Godkänn"-knapp — och under tiden har sajten redan laddat Google Analytics och Meta-pixeln, innan besökaren hunnit ta ställning. Det är precis det som inte är tillåtet. Och det är därför vi börjar just här. Svensk Cybersäkerhet är en bredare satsning på cybersäkerhet för svenska företag — men vi valde att inleda med cookies, eftersom det är ett krav som rör nästan alla, och som nästan alla har fel på.

Vad lagen faktiskt kräver

Två regelverk styr cookies i Sverige. Lagen om elektronisk kommunikation (2022:482) säger att cookies som inte är strikt nödvändiga inte får placeras innan besökaren fått information och aktivt samtyckt. GDPR styr i sin tur hur själva samtycket måste se ut: det ska vara frivilligt, specifikt, informerat och otvetydigt. Brister ett enda av de kraven är samtycket ogiltigt — även om besökaren tryckt på "Godkänn".

I praktiken betyder det tre saker. Inga cookies som kräver samtycke får sättas innan besökaren valt. Att neka ska vara lika enkelt som att godkänna. Och du ska kunna visa att, och hur, samtycke har inhämtats.

Det låter enkelt. Men det är just här de flesta faller.

Det vi såg när vi tittade

De vanligaste bristerna är förvånansvärt likartade. Spårning som laddas redan vid sidladdning, långt innan någon klickat. En stor, färgglad "Godkänn alla" bredvid en blek "Neka" som textlänk — eller ingen nej-knapp alls i första vyn. Förkryssade rutor för statistik och marknadsföring. Och nästan ingen som faktiskt registrerar samtyckena, vilket gör att man inte kan bevisa något om frågan ställs.

Var och en av de här sakerna kan göra samtycket ogiltigt. Och det märkliga är att överträdelsen är fullt synlig för vem som helst. En besökare, en konkurrent eller en granskande myndighet kan öppna sajten i ett inkognitofönster och se i utvecklarverktygen att spårningskakorna redan ligger där. Här delas tillsynen: Post- och telestyrelsen (PTS) övervakar kravet på samtycke innan kakor placeras, medan Integritetsskyddsmyndigheten (IMY) granskar hur personuppgifterna sedan hanteras. Båda kan kräva rättelse, och i allvarliga fall kan det leda till sanktionsavgift — IMY riktade så sent som 2025 kritik mot flera svenska bolags kakbanners.

Lika viktigt, fast svårare att sätta en siffra på, är förtroendet. En banner som uppenbart försöker lura besökaren att klicka "ja" säger något om hur företaget ser på sina kunders integritet.

Vår första tjänst: en cookiebanner som följer lagen

Vår idé var enkel: gör det lättare att göra rätt än att göra fel. Den första tjänsten i Svensk Cybersäkerhet är ett verktyg som låter dig skapa, anpassa och publicera en cookiebanner som följer lagen — på några minuter, även utan teknisk eller juridisk vana.

Det här ingår:

Tre likvärdiga val. Neka, anpassa och godkänn ges samma vikt — ingen knapp framhävs. Konfiguratorn varnar dig om en designändring riskerar att bli ett dark pattern.
Samtyckesregister. Varje samtycke sparas med tidpunkt och de val som gjordes, så att du kan visa hur det inhämtats om en tillsyn skulle ske.
Automatisk skanning. Verktyget känner igen vanliga spårningsverktyg som Google Analytics och Meta Pixel och föreslår rätt kategorier — du kompletterar manuellt.
Enkel installation. En kodrad i sidans head, med steg-för-steg-guider för WordPress, Webflow, Shopify, Squarespace och Next.js.
Data inom EU. All data lagras på servrar inom EU, och IP-adresser sparas aldrig i klartext utan endast i pseudonymiserad form.

Det börjar på 39 kr/mån per domän, med 14 dagars fri provperiod och ingen bindningstid. Själva lagligheten ingår i alla planer.

En sak vi vill vara tydliga med

Ett verktyg kan göra det lätt att göra rätt, men det kan inte ta över ditt ansvar. Som webbplatsägare är det du som är personuppgiftsansvarig och som ansvarar för hur cookies används på din sajt. Det vi gör är att ge dig en banner som uppfyller kraven och ett underlag som dokumenterar samtyckena åt dig — resten av efterlevnaden ligger fortsatt hos dig. Vi tycker att det är viktigare att säga det rakt ut än att lova mer än vi kan hålla.

Testa var din egen sajt står

Innan du gör något annat: ta reda på var du faktiskt befinner dig. Vår gratis cookie-koll skannar din webbplats, visar vilka spårningsverktyg som körs och om du riskerar att bryta mot reglerna — resultatet mejlas till dig. Det tar ett par minuter och kostar ingenting.

Och om kollen visar brister är det enkelt att rätta dem.

Cookies är bara början. Svensk Cybersäkerhet byggs ut med fler tjänster inom cybersäkerhet och regelefterlevnad framöver — men allt vi släpper kommer att utgå från samma princip: gör det enkelt för svenska företag att göra rätt.

Svensk Cybersäkerhet är live nu — testa din sajt på svenskcybersakerhet.se.