Consentify Blog

GDPR og cookie-samtykke for norske nettsteder: komplett guide 2026

TL;DR Siden januar 2025 krever den oppdaterte ekomloven at alle norske nettsteder som bruker ikke-nødvendige cookies innhenter GDPR-gyldig samtykke. Datatilsynet har allerede gjennomført tilsyn og ilagt et gebyr på 250 000 kroner. Denne guiden forklarer hva som endret seg, hva gyldig samtykke er, og hvordan du setter det opp.

GDPR og cookie-samtykke for norske nettsteder: komplett guide 2026

Fra 1. januar 2025 gjelder strengere cookie-regler for alle norske nettsteder. Den oppdaterte ekomloven fjernet gråsonene og krevde at norsk rett nå er i samsvar med EU-retten. Har du Google Analytics, Meta Pixel eller andre sporingsverktøy på nettstedet ditt, og ikke et gyldig samtykkebanner som faktisk blokkerer dem, bryter du loven.

Denne guiden forklarer hva som har endret seg, hva Datatilsynet faktisk ser etter, og hva du konkret må gjøre for å være i orden.

Hva er de nye norske cookie-reglene?

De nye norske cookie-reglene kom med ekomloven § 3-15 som trådte i kraft 1. januar 2025. Loven sier at bruk av informasjonskapsler og lignende sporingsteknologier krever et forhåndssamtykke som er gyldig etter GDPR. Passive samtykker er ute. Forhåndsavkryssede bokser er ute. Det holder ikke lenger at brukeren bare fortsetter å surfe på siden.

Datatilsynet beskriver endringen slik: norske internettbrukere får nå samme vern mot sporing som EU-borgere. Det betyr at alle vilkårene for et gyldig GDPR-samtykke må oppfylles: det skal være frivillig, spesifikt, informert og utvetydig.

Hvem håndhever reglene i Norge?

To myndigheter deler ansvaret. Nkom (Nasjonal kommunikasjonsmyndighet) vurderer om en teknisk løsning er omfattet av ekomloven og om unntakene gjelder. Datatilsynet har ansvar for om samtykket oppfyller GDPR-kravene, altså om det faktisk er gyldig.

I praksis betyr det at nesten alle nettsteder som bruker sporing er underlagt begge myndighetene. Nkom ser på den tekniske løsningen. Datatilsynet ser på om samtykket er innhentet riktig.

Har Datatilsynet faktisk begynt å håndheve?

Ja. I juni 2025 gjennomførte Datatilsynet tilsyn med seks norske nettsteder som bruker sporingspiksler. Alle seks delte besøkendes personopplysninger med tredjeparter uten rettslig grunnlag. Kristiansand kommune fikk et overtredelsesgebyr på 250 000 kroner. De øvrige fem fikk irettesettelse.

Nettstedene som ble tatt inkluderte en kommunal barneverntjeneste, en legetjeneste, et religiøst nettsted og et helseinformasjonsnettsted. Funnene viste at besøkende ble «dultet» til å samtykke, fikk villedende informasjon, og at sensitive opplysninger om helse, religion og barn ble delt ulovlig med tredjeparter. Datatilsynet var tydelig: i fremtiden kan reaksjonene bli mye strengere.

Hva teller som ikke-nødvendige informasjonskapsler?

Ikke-nødvendige informasjonskapsler er alt som ikke er strengt nødvendig for at nettstedet skal fungere. Du trenger samtykke for alle disse før de kjøres:

  • Google Analytics 4 og Universal Analytics
  • Meta Pixel (Facebook)
  • Google Ads konverteringssporing
  • TikTok Pixel, LinkedIn Insight Tag, Snapchat Pixel
  • Hotjar, Clarity og andre atferdsanalyseverktøy
  • Intercom, Crisp og andre live chat-verktøy som sporer besøkende

Unntakene er strengt nødvendige informasjonskapsler: innloggingssesjon, handlekurv, sikkerhetstokens. Ekomloven er teknologinøytral og gjelder uavhengig av om det behandles personopplysninger, noe som betyr at kravet om samtykke er bredt.

Hva kjennetegner et gyldig samtykke etter norsk lov?

Et gyldig samtykke etter ekomloven og GDPR må oppfylle fire krav. Det må være frivillig, spesifikt, informert og utvetydig. Datatilsynets veiledning fra april 2025 presiserer hva dette betyr i praksis:

  • Frivillig: Det skal være like lett å si nei som å si ja. Nei-alternativet må ha samme visuelle vekt og fremtredenhet som ja-alternativet.
  • Spesifikt: Brukeren skal kunne gi samtykke til én kategori uten å samtykke til alle. Analytics og markedsføring er separate kategorier.
  • Informert: Banneret må forklare hvilke data som samles inn, formålet, og hvem som mottar dem.
  • Utvetydig: Aktiv handling kreves. Å fortsette å surfe teller ikke. Forhåndsavkryssede bokser teller ikke.

En stor «Godta alle»-knapp med en liten grå tekstlenke for «Avslå» er et mørkt mønster. Datatilsynet brukte begrepet «dultning» (nudging) i tilsynsrapporten fra juni 2025 som beskrivelse av nettopp dette.

Den vanligste feilen norske nettsteder gjør

De fleste norske nettsteder som tror de er etterlevende, er ikke det. Det vanligste mønsteret: nettstedet har et banner som vises, men sporings-skript som Google Analytics og Meta Pixel lastes inn under banneret mens det vises. Brukeren har ikke sagt ja. Sporingsverktøyene kjøres likevel.

Dette er ikke etterlevende, uansett hvor profesjonelt banneret ser ut. Du kan sjekke om sporingsverktøyene faktisk blokkeres på nettstedet ditt med Consentifys gratis skanner. Den viser deg nøyaktig hva som kjøres og hvilke cookies som settes, slik at du vet hva som faktisk trengs å gjøres.

Slik setter du opp et lovlig samtykkebanner for et norsk nettsted

Steg 1: Kartlegg hva nettstedet bruker

Før du setter opp noe, vet du hvilke sporingsverktøy nettstedet faktisk bruker? Mange legger til skript under utvikling og glemmer dem. Bruk domeneskanneren for å få en fullstendig liste.

Steg 2: Opprett en Consentify-konto

Registrer deg på consentify.app. Gratisplanen dekker ett domene uten vannmerke og uten tidsbegrensning. Legg til domenet ditt i dashbordet og konfigurer integrasjonene dine, altså de sporingsverktøyene nettstedet bruker.

Steg 3: Design et lovlig banner

Bruk den visuelle editoren til å sette opp banneret. Pass på at «Avslå»-alternativet er like synlig som «Godta». Banneret støtter norsk språk og lar deg justere tekst, farger og posisjon uten kode.

Steg 4: Lim inn én linje kode

Kopier script-taggen fra domeneinnstillingene og lim den inn rett før </head> på nettstedet. For Webflow bruker du Custom Code i prosjektinnstillingene. For WordPress legger du det i tema-headeren eller via et plugin. For en fullstendig steg-for-steg-gjennomgang, se oppsettguiden vår.

Steg 5: Legg til tilbakekallsmulighet

Norske brukere har rett til å endre samtykket sitt når som helst. Legg til en knapp eller lenke i bunnteksten med element-ID-en revoke-consent-btn. Consentify kobler samtykkepanelet til den automatisk. Uten dette er oppsettet juridisk ufullstendig.

Hva med norske nettsteder som ikke retter seg mot EU?

Ekomloven gjelder for alle norske nettsteder uavhengig av om de retter seg mot EU-borgere. Det er tilstrekkelig at nettstedet bruker cookies og lignende teknologier på enheter i Norge. GDPR gjelder i tillegg for alle som behandler personopplysninger om EU-borgere. Et norsk nettsted med norske besøkende er underlagt ekomloven. Et norsk nettsted med europeiske besøkende er underlagt begge.

Trenger du ett samtykkebanner per nettsted?

Ja, hvert domene trenger sin egen konfigurasjon. Men du trenger ikke administrere dem fra separate kontoer. Med Consentify kan du administrere alle klienters samtykkebanners fra ett dashbord. Betalte planer starter på 39 kr per måned og dekker opptil tre domener. Agency-planen dekker opptil 30 domener med white-label-muligheter, noe som passer godt for norske byråer som håndterer etterlevelse på vegne av klienter.

Klar til å komme i gang? Prøv Consentify gratis — ett domene, ingen vannmerke, ingen tidsbegrensning.

Start your cookie banner for free

Get your own customizable, GDPR-ready banner in minutes with Consentify.

Get Started Free

Vanlige spørsmål

Gjelder de nye cookie-reglene for alle norske nettsteder?

Ja. Ekomloven § 3-15 gjelder for alle norske nettsteder som bruker informasjonskapsler eller lignende teknologier som ikke er strengt nødvendige for nettstedets funksjon. Det spiller ingen rolle om nettstedet retter seg mot norske eller europeiske brukere. Unntaket er kun nettsteder som utelukkende bruker strengt nødvendige cookies.

Hva skjer hvis nettstedet mitt ikke overholder de nye cookie-reglene?

Datatilsynet og Nkom fører tilsyn med ekomloven og GDPR. I juni 2025 gjennomførte Datatilsynet tilsyn med seks norske nettsteder og ilagte blant annet et overtredelsesgebyr på 250 000 kroner til Kristiansand kommune. Tilsynet varslet at fremtidige reaksjoner kan bli strengere. GDPR åpner for bøter på opptil 20 millioner euro eller 4 prosent av global omsetning ved alvorlige brudd.

Holder det å vise et samtykkebanner uten å blokkere sporings-skriptene?

Nei. Et banner som vises mens Google Analytics og Meta Pixel kjøres i bakgrunnen er ikke etterlevende. Sporings-skriptene må blokkeres teknisk til brukeren aktivt gir samtykke. Det er den tekniske blokkingen som er kjernen i etterlevelse, ikke at banneret vises.

Hva er forskjellen på GDPR og ekomloven for norske nettsteder?

GDPR regulerer behandling av personopplysninger og gjelder for norske virksomheter via personopplysningsloven. Ekomloven § 3-15 regulerer spesifikt lagring av og tilgang til informasjon på brukerens enhet, og gjelder uavhengig av om personopplysninger behandles. Fra 1. januar 2025 krever ekomloven at samtykke til cookies oppfyller GDPR-standardene. I praksis betyr det at begge regelverkene gjelder for de fleste nettsteder med sporingsverktøy.

Hvor lenge er et samtykke gyldig etter norsk lov?

Verken ekomloven eller GDPR angir en eksakt varighet, men Datatilsynet anbefaler å be om nytt samtykke etter 12 måneder. Du bør også be om nytt samtykke når du endrer hvilke sporingsverktøy du bruker, siden samtykket er spesifikt knyttet til de formålene brukeren godkjente.

Written by Consentify
Helping you stay GDPR compliant, one banner at a time.