Så gör du din cookie-banner IMY-kompatibel: en steg-för-steg-guide

De flesta svenska webbplatser underkänns vid grundläggande kontroller av cookie-efterlevnad. IMY:s tillsynsåtgärder 2025 mot ATG, Aller Media och Warner Music visade att även stora, resursstarka företag gör fel med samtycke. De vanligaste bristerna var inte obskyra tekniska problem. Det var grundläggande fel i samtyckesbannern som vilken webbplatsägare som helst kan åtgärda. Cookie-banner-efterlevnad i Sverige är inte valfritt, och tillsynsmyndigheter kontrollerar aktivt.

Böterna är verkliga. IMY har utfärdat böter i miljonklassen för integritetsöverträdelser: 37 miljoner kronor mot Apoteket och 8 miljoner kronor mot Apohem 2024 för otillåtna dataöverföringar via Meta Pixel. Cookie-samtyckesöverträdelser som inte åtgärdas efter en formell reprimand kan eskalera till liknande böter.

Varför det här är viktigt just nu

IMY uppdaterade sin cookie-vägledning i slutet av 2024 och har sedan dess drivit aktiv tillsyn. Europeiska dataskyddsmyndigheter använder i allt högre grad automatiserad skanning i preliminära bedömningar, så din webbplats kan utvärderas innan en formell utredning inleds.

Den rättsliga grunden är e-dataskyddsdirektivet som det genomförts i svensk lag (LEK — Lagen om elektronisk kommunikation). Tillsammans med GDPR artikel 6(1)(a) och 7 är kraven tydliga: ingen spårning utan giltigt, informerat och fritt givet samtycke.

Steg 1: Gör avvisa lika enkelt som acceptera

Det här är det absolut vanligaste felet. Din cookie-banner måste presentera avvisningsalternativet med samma visuella tyngd som acceptalternativet. Samma storlek på knappen. Samma visuella vikt. Samma antal klick.

En stor grön "Acceptera alla"-knapp bredvid en liten grå "Hantera inställningar"-länk uppfyller inte IMY:s krav. Avvisa måste vara en knapp, inte en länk, inte en inställningsmeny, inte ett alternativ på en andra nivå.

Steg 2: Inga förikryssade rutor

EU-domstolen fastslog i Planet49 (C-673/17) att förikryssade samtyckesrutor är ogiltiga. Det gäller alla typer av samtyckesmekanismer: kryssrutor, vippströmbrytare, reglage. Allt måste vara avmarkerat som standard.

Om ditt CMP-verktyg har kategorier som "Analys" eller "Marknadsföring" aktiverade som standard samlar du in ogiltigt samtycke. Varje kategori måste starta i avvisat läge. Användaren måste aktivt välja att godkänna.

Steg 3: Inga cookie-väggar

En cookie-vägg blockerar tillgång till din webbplats om besökaren inte accepterar cookies. IMY betraktar detta som tvingande. Samtycke som ges under villkoret "acceptera eller lämna" är inte fritt givet.

Det finns ett snävt undantag: du kan erbjuda ett genuint betalalternativ som ger samma innehåll utan spårning. Men betalalternativet måste vara rimligt, inte en kuliss. De flesta organisationer gör bättre i att helt enkelt tillåta tillgång utan icke-nödvändiga cookies.

Steg 4: Ingen spårning före samtycke

Det här är där de flesta cookie-banners misslyckas tekniskt, även om de ser korrekta ut. Din webbplats får inte sätta några icke-nödvändiga cookies eller trigga några spårningsskript innan användaren gör ett val.

Det innebär ingen Google Analytics-sidvisning vid laddning. Ingen Meta Pixel. Inga marknadsföringscookies. Om din tagghanterare triggar innan samtycke registreras har du en överträdelse, oavsett hur väl din banner är designad.

• Granska din sidladdningssekvens. Använd webbläsarens utvecklarverktyg för att kontrollera vilka cookies som finns innan någon bannerinteraktion.
• Konfigurera din tagghanterare att blockera alla icke-nödvändiga taggar tills samtycke mottagits.
• Kontrollera att tredjepartsskript i din HTML <head> inte sätter cookies oberoende av ditt CMP.
• Verifiera att inbäddade iframes (YouTube, Google Maps, sociala widgetar) inte sätter cookies före samtycke.

Steg 5: Respektera avvisning och verifiera att det faktiskt fungerar

Att klicka "Avvisa" måste faktiskt stoppa spårningen. Det låter självklart, men Vakteyes skanningar hittar konsekvent sajter där cookies finns kvar efter avvisning. Bannern säger en sak. Webbläsaren visar en annan.

Vanliga orsaker: felkonfigurerat CMP, hårdkodade analyticsskript som kringgår CMP:et, tredjepartswidgetar som ignorerar samtyckesstyrning och zombie-cookies som återskapas efter radering.

• Klicka Avvisa på din egen sajt och kontrollera cookies i utvecklarverktyg direkt. Är alla icke-nödvändiga cookies borta?
• Rensa cookies, klicka Avvisa, vänta 10 sekunder, kontrollera igen. Vissa cookies återskapas (zombie-cookies).
• Navigera till en annan sida efter avvisning. Kvarstår samtyckesvalet? Dyker nya cookies upp?
• Kontrollera localStorage och sessionStorage. Vissa spårare lagrar data där istället för i cookies.

Steg 6: Testa med automatiserade verktyg

Manuell testning fångar uppenbara problem men missar de subtila. Cookie-beteende ändras mellan sidor, mellan sessioner och mellan samtyckestillstånd. En cookie som inte dyker upp på din startsida kan dyka upp på din kassasida.

Automatiserad skanning ger den systematiska täckning som manuell testning inte kan. Den testar baslinjebeteende (före samtyckeinteraktion), beteende efter avvisning och beteende efter godkännande, och jämför sedan de tre tillstånden.

Vakteyes samtyckeskanner gör exakt detta: baslinjeögonblicksbild, avvisningsflöde med cookie-diff och godkännandeflöde med fullständig jämförelse. Varje fynd levereras med forensiska bevis: webbläsarsessionsinspelningar, HAR-filer och cookie-inventeringar.

Vanliga misstag som IMY fångar

• "Fortsatt surfande = samtycke": Underförstått samtycke är inte giltigt samtycke. Användaren måste utföra en aktiv handling.
• Samtyckesbannern dyker upp igen efter avvisning: När ett val gjorts måste det bestå tills användaren aktivt ändrar det.
• Olika cookie-beteende på mobil och desktop: Ditt CMP måste fungera konsekvent på alla enhetstyper.
• Cookie saknas i din integritetspolicy: Varje cookie måste dokumenteras med syfte, lagringstid och leverantör.
• Samtycke för "funktionella" cookies som egentligen är analytics: Att felkategorisera cookies för att undvika samtyckeskrav är en överträdelse.