Kontakta oss
Kontakta oss

Våra kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige
Karriär hos Siteflow

Följ oss

Cookies och GDPR 2026: så gör du rätt på hemsidan

Cookies är en av de saker som låter trivialt men där felet kan bli dyrt. En slarvigt konfigurerad cookiebanner är inte bara en formalitet — det är ett brott mot GDPR och kan i värsta fall kosta upp till 4 procent av företagets globala omsättning. Här är vad du som driver en svensk hemsida 2026 faktiskt behöver göra rätt.

Vad cookies är — och varför de är reglerade

En cookie är en liten textfil som webbplatsen sparar i besökarens webbläsare. Den gör så att hemsidan kommer ihåg saker — att du är inloggad, vilket språk du valt, vad du har i varukorgen. Det låter harmlöst, och de flesta cookies är det.

Problemet är att cookies också används för att spåra människor. Facebook-pixeln, Google Analytics, retargeting-skript och otaliga marknadsföringsverktyg lägger filer i webbläsaren som följer besökaren från sajt till sajt och bygger detaljerade profiler om vem hen är, vad hen gör och vad hen kan tänkas köpa.

Det är därför EU-lagstiftaren tvingat fram cookie-reglerna. Cookies delas in i fyra grupper:

Nödvändiga cookies. Sådana som krävs för att hemsidan ska fungera — sessions-cookies, kundvagn, säkerhets-tokens. Dessa kräver inte samtycke.

Funktionella cookies. Sparar inställningar som språkval, mörkt läge eller textstorlek. Kräver samtycke.

Statistik-cookies. Mäter besökarflöden via Google Analytics, Matomo, Plausible och liknande. Kräver samtycke.

Marknadsförings-cookies. Spårar besökaren för riktade annonser, Facebook-pixel, Google Ads, retargeting. Kräver samtycke — och här är böterna mest aggressiva.

När du måste ha en cookiebanner

Enkel tumregel: om din hemsida laddar något annat än rent nödvändiga cookies, behöver du en cookiebanner som inhämtar besökarens aktiva samtycke innan dessa cookies sätts.

I praktiken betyder det att nästan alla hemsidor 2026 behöver banner — så fort du har Google Analytics, en Facebook-pixel, en YouTube-inbäddning eller ett chatt-verktyg som Intercom är du över gränsen.

Ett mycket vanligt missförstånd är att en passiv "genom att fortsätta använda sajten godkänner du cookies" räcker. Det räcker inte. Inte sedan 2020. Inte heller en banner som bara har en "OK"-knapp och döljer alternativen.

Samtyckesreglerna — fyra krav du måste klara

EU-domstolen och Integritetsskyddsmyndigheten (IMY) har varit tydliga med hur samtycke ska samlas in. Det räcker inte att besökaren "tystnade och fortsatte" — samtycket måste vara:

1. Aktivt. Besökaren måste göra ett medvetet val. Förikryssade rutor är förbjudna. Skript som laddar Google Analytics innan användaren klickat på något är förbjudna.

2. Informerat. Besökaren ska veta vad hen samtycker till. Vilka cookies, vilka tredje parter, vilket syfte, hur länge de sparas. Det innebär att en kort förklaring i bannern måste finnas — inte bara en länk till en 30-sidig juridisk text.

3. Granulärt. Besökaren ska kunna välja kategori för kategori — godkänn statistik men inte marknadsföring, eller tvärtom. En enda "Godkänn allt"-knapp är inte tillåten om den är det enda alternativet.

4. Lika lätt att avstå som att godkänna. Detta är där de flesta hemsidor 2026 fortfarande brister. Om "Godkänn alla" är en stor blå knapp och "Avvisa" är en grå textlänk i hörnet — det är inte godkänt. IMY har bötfällt flera svenska företag specifikt för detta.

Besökaren ska också kunna återkalla samtycket lika enkelt som hen gav det. I praktiken innebär det att en länk "Cookie-inställningar" ska finnas i sidfoten på varje sida, som öppnar bannern igen.

Consent Management Platforms — du klarar inte detta i en footer

Att bygga en korrekt cookiebanner själv är möjligt men sällan klokt. Reglerna ändras, granskningarna skärps och det finns en hel kategori av verktyg som löser problemet åt dig.

Cookiebot är marknadsledare i Norden. Skannar din sajt automatiskt, kategoriserar alla cookies och tredjepartsskript, genererar en banner som är juridiskt korrekt och loggar varje samtycke så du kan bevisa efterlevnad vid en granskning. Från ~120 kr per månad för småföretag.

iubenda är europeisk och något billigare i grundpaketet. Stark på flerspråkighet och dokumentation — bra om du har besökare på flera marknader.

Inhouse-lösning. Tekniskt fullt möjligt, särskilt med ramverk som Next.js eller Astro. Men du tar då på dig ansvaret att hålla skript-blockering, kategorisering och loggning aktuellt. För de flesta småföretag är det inte ekonomiskt — en SaaS-tjänst för några hundralappar i månaden tar bort hela klassen av risker.

På Siteflow konfigurerar vi Cookiebot eller motsvarande som del av varje hemsida — det är inte en separat tilläggstjänst utan en del av att leverera en hemsida som är laglig från dag ett.

Google Consent Mode v2 — inte valbart längre

Sedan mars 2024 kräver Google att alla webbplatser som använder Google-tjänster (Analytics, Ads, Tag Manager) implementerar Consent Mode v2. Utan det skickar Google ingen data från användare i EU.

Konkret innebär det att din cookiebanner måste skicka signaler till Google om vilken typ av samtycke besökaren gett — analytics_storage, ad_storage, ad_user_data och ad_personalization. Cookiebot och iubenda har inbyggt stöd och hanterar det automatiskt.

Om du inte har Consent Mode v2 påslaget förlorar du inte bara mätdata — du tappar också Google Ads-funktionalitet som remarketing och konverteringsspårning. Det är inte ett juridiskt krav från EU, men det är ett praktiskt krav om du vill annonsera i Google.

Vad det kostar att göra fel

GDPR-böter beräknas på två nivåer. Vanliga brott — som otillräckligt samtycke — landar på upp till 10 miljoner euro eller 2 procent av global omsättning, beroende på vilket som är högst. Allvarliga brott landar på upp till 20 miljoner euro eller 4 procent.

Det låter abstrakt. Konkret: 2023 bötfälldes Spotify med 58 miljoner kronor för otillräcklig transparens. Klarna fick 7,5 miljoner kronor för bristande information. Det är inte bara stora bolag — IMY granskar löpande mindre svenska företag och utfärdar viten i storleksordningen 100 000 till några miljoner kronor.

Det viktiga är att du inte behöver vara perfekt — du behöver vara rimligt försiktig. Ha en banner som följer kraven. Logga samtycken. Uppdatera din integritetspolicy och cookies-sida när du lägger till nya verktyg. Det räcker långt.

FAQ

Behöver jag cookiebanner om jag bara har en enkel hemsida utan Analytics? Om du bara har nödvändiga cookies — nej. Men kontrollera ärligt: använder du Google Fonts, YouTube-embed, Cloudflare, Calendly? Många "enkla" hemsidor laddar tredjepartsskript som triggar samtyckeskravet.

Räcker det med ett "OK"? Nej. Du måste erbjuda lika tydligt alternativ att avvisa, och möjlighet att granulärt välja kategori.

Kan jag använda Google Analytics i Sverige 2026? Ja, om du har Consent Mode v2 och har migrerat till GA4. De flesta tidigare problemen med Google Analytics och Schrems II är lösta för 2026 efter EU-US Data Privacy Framework — men du måste fortfarande inhämta samtycke.

Måste jag ha en separat cookies-sida? Praxis är ja. Bannern ska länka till en sida som listar varje cookie, dess syfte och varaktighet. Cookiebot och liknande genererar denna lista automatiskt.

Hur ofta måste jag uppdatera? Skanna sajten minst en gång i månaden — eller låt en CMP göra det automatiskt. Varje nytt verktyg du lägger till kan introducera nya cookies.

Relaterade artiklar

Fler artiklar

Hemsidepris 2026: vad kostar en hemsida i Sverige?

Allt från 100 kr i månaden till 80 000 kr som engångskostnad — så ser hemsidepriserna ut i Sverige 2026. Här är vad varje nivå faktiskt ger dig.

Read more

Lokala söktermer 2026: hitta orden du bör ranka på

Att gissa vilka ord kunderna googlar är dyrt. Här är metoden för att hitta de lokala söktermer ditt företag faktiskt har en chans att ranka på under 2026.

Read more

Berätta om ert projekt

Säg hej

Vårt kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige