Feb 8, 2025

Tänker vi fel angående GDPR och Cookie Banners?

Behöver vi verkligen all den funktionalitet på våra sajter som gör att GDPR kräver att vi måste ha medgivande från användarna och en hatad Cookie Banner som konsekvens?

GDPR

Ingen kaka, men väl en choklad croissant. Eget foto.

Känns som vi inte utvärderat om vi verkligen behöver allt vi tidigare hade, utan bara "Jaha, då är det cookie banner som gäller, skit också". Bara för att analys-verktyg, annonser-leverantörer mm fanns innan GDPR, behöver ju inte innebära att vi måste ha det exakt likadant efter. Det är ju trots allt lite det GDPR har till syfte att minska, spårning och insamling av personlig information.

Jag bestämde mig för att utvärdera detta på min enkla lilla sida.

Vad har jag som kräver besökaren medgivande?

Det är nu det blir intressant, vad är det jag av slentrian installerar och vad är det jag verkligen behöver?

Besöks-statistik och analys

Eftersom man sedan innan GDPR vant sig att få en karta med vart besökarna kommer ifrån, bounce-rates och time-on-page etc så är det lätt att dumpa in ett Google Analytics script så är saken klart, men behövs det verkligen idag?

För mig är det tre faktorer som är intressanta:

  1. När har jag besök
  2. Vad besöks
  3. Vart kommer dom ifrån senast (Google, LinkedIn eller en länk på annan sajt etc)

För denna typ av statistik behövs inget medgivande och jag klarar mig fint med de insikter som jag får genom denna info. Det finns givetvis massvis med ytterligare man kan göra utan att behöva lagra personlig information, men det är det jag implementerat och jag är nöjd dvs det är det enda jag ser vad avser statistik på denna sida.

Videos, musik, sociala medier och annonser

Den andra delen de flesta sajter ofta önskar kunna göra är att ha nån Youtube-video och andra typer av inbäddat innehåll (Spotify, nått Facebook inlägg etc). Det är här det börjar bli klurigt. Internet är så ihopkopplat idag och dessutom är det ofta företag som är duktigt intresserade av att spåra oss som vi vill ha på våra sajter (ovan nämnda t.ex). Så om man inte vill ha en Cookie Banner måste man sluta med detta?

Nej, men man behöver göra lite annorlunda.

  1. Använd inte iframes eller företagens egna inbäddnings-koder.
    Dom är experter på att spåra oss och så även genom t.ex en Youtube-video.
  2. Om nocookie-länk finns använd den
    Youtube har t.ex en default som innebär att det bara är att ändra från youtube.com till youtube-nocookie.com så är den delen klar.
  3. Använd click-2-play
    Det innebär att man lägger en bild istället för själva inbäddningen. Då är man helt fri från spårning och du har full kontroll. När användaren klickar laddas t.ex Youtube-videon. Värt att notera att när användaren klickar och videon laddas så rasslar det oftast till med spårning också. Detta måste man meddela användaren. Antingen i sin privacy policy, eller som jag har gjort med en text i anslutning till varje video (se nedan).
    Det ger även att inte massa andra rekommendationer dyker upp utan att bara rekommendationer från det konto videon är ifrån dyker upp samt en del annat integritets-skyddande. Nedan är min komponent "in-action" med en Youtube-video från en annan post.
Video thumbnail
Denna YouTube video är upplagt med privacy-enhanced mode, men om du klickar på videon kan det innebära att YouTube använder cookies.

Annonser fungerar på liknande sätt och har man annonser är det definitivt en policy-fråga rörande om man vill spåra sina besökare eller ej. Personligen är jag allergisk mot targetting i annonsvärlden. Det jag inte gillar är främst "det är för din skull"-argumentet dvs ge oss all din info så får du fortfarande annonser baserat på vad du surfar på, vad du gör på andra sajter mm.

Jag har bestämt mig för att testa att fullt ut försöka att efterleva GDPR, men fortfarande ha samma användarupplevelse samt kunna få besöks-statistik mm.

Nu har jag en extremt enkel sajt så är ju inte så komplicerat. Å andra sidan är jag en icke techie med begränsade resurser att lägga på en pytte-sajt som denna. Stora företag torde kunna lägga en del resurser på att lösa detta för användarnas skull samt även göra det enklare att följa GDPR och sluta samla in personlig information.

Hur följs då detta?

Jo just det, trots att du klickar "Neka allt" eller "Avböj" på den där j**la rutan som poppar upp hela tiden så följs det långt från alltid, skulle t.o.m våga påstå att majoriteten av de som har cookie banners inte säkerställer att ingen spårning sker t.ex via en Youtube-video om användaren klickar "Avböj / Neka allt".

I veckan blev det ju t.o.m uppmärksammat att självaste PTS inte följer GDPR på sin sajt. Så t.o.m myndigheten som skall övervaka detta följer inte lagen.

Sammanfattning

Jag tror att många skulle klara sig bra utan Cookie Banners på sina sajter. GDPR får mycket skit, men en del av det bygger på att vi som har sajter tycker det är bökigt att ändra det vi alltid haft och vi vill helst ha t.ex Google Analytics och visa Youtube-videos som vi alltid gjort. Detta samtidigt som vi inte själva vill bli spårade på nätet. Så kanske dags att tänka om lite och bidra till mänskligheten genom att minska att just din sajt bidrar till att dina användare spåras av Google, Facebook, X, Amazon, Aftonbladet, Hemnet etc.

För med relativt enkla medel kan du skippa Google Analytics och spårnings-cookies från Youtube, det är bara att göra jobbet! Om jag kan så kan garanterat företag med större resurser också.

Jag behöver inte ha cookie banner på min sajt, behöver du verkligen ha det?

Reflektioner

  1. Dåligt med information om det som är viktigt
    När jag nördat ner mig på området så har jag upptäckt att det finns ytterst mycket information om just cookie banners och hur den får och inte får se ut etc (trots det följer typ ingen de reglerna), men extremt lite information om vilken information som gör att cookie bannern behövs och vad uppgiften för själva cookie bannern är. Massa hur, men få varför! ... och igen, få förslag på hur du kan göra för att kanske slippa hela cookie banner helvetet.
  2. Många fokuserar på det negativa och inte på det positiva
    Ja, GDPR är trubbigt och tillämpning inte optimal, MEN, allt är inte dåligt och lagen är sprungen ur ett problem, nämligen att stora företag samlar personlig information och profilerar oss, säljer vår data eller riktar väldigt specifik information mot oss för att påverka oss. Detta är viktigt och vi behöver bli bättre på att lyfta att detta även är bra, även om lagen är trubbig på många sätt.
  3. Alla gör fel. Inom två områden missar istort alla sajter. Varför?
  • Det skall vara lika enkelt att godkänna cookies som att neka. Så är det ju typ aldrig.
  • Cookie Bannern är kosmetika dvs den är där, men gör inte det den skall. Få vet vad som verkligen krävs som t.ex det jag nämnt om Youtube. Har du en Youtube-video på din sajt så injecerar den en cookie, men har du nekat, skall det inte tillåtas, så är det ju oftast inte.

Många som tycker GDPR är skit är samma personer som sen högljutt höjer rösten att tracking cookies är satans påfund etc. Lite samma som när EU vill begränsa hur de stora sociala medier plattformarna hanterar vår data, då gnäller många då det kan göra plattformarna sämre, (igen) MEN, är det inte plattformarna som skall bli bättre på att hantera vår information och ändå erbjuda en bra tjänst? Det är ju inte ok att bryta mot de lagar vi har på plats för att skydda vår personliga integritet.

Disclaimer

Jag är ingen jurist, utan har resonerat med sunt förnuft och försökt verifiera det jag skriver på bästa sätt. Bara hör av er med kompletteringar, förslag på ändringar eller rena korrigeringar av potentiella fel.


© 2025 Fredrik Stenbeck.