Cookie compliance Sverige 2026: komplett guide till GDPR, LEK och ePrivacy

Cookie compliance innebär att din webbplats hanterar cookies och liknande spårningstekniker i enlighet med gällande lag. I Sverige styrs detta av tre samverkande regelverk: GDPR (Dataskyddsförordningen), LEK (Lagen om elektronisk kommunikation) och IMY:s vägledningar och beslutspraxis.

Problemet är att många sajter fortfarande sätter analys- och marknadsföringscookies redan när en besökare landar — utan att de klickat "Acceptera". Det är ett direkt lagbrott. IMY utförde 2024–2025 en riktad tillsynskampanj och utdelade sanktioner mot bland annat ATG (7 MSEK), Aller Media och Warner Music för just detta.

Tre lagar du måste förstå

• LEK (SFS 2022:482) — Lagen om elektronisk kommunikation implementerar EU:s ePrivacy-direktiv. Den kräver aktivt, informerat samtycke innan icke-nödvändiga cookies sätts. Samtycket ska vara frivilligt, specifikt och kan återkallas lika enkelt som det gavs (Art. 6.3 LEK).
• GDPR (EU 2016/679) — Om cookies behandlar personuppgifter (vilket analys- och spårningscookies nästan alltid gör) gäller GDPR parallellt med LEK. Samtycke enligt GDPR måste uppfylla Art. 7: specifikt, informerat, frivilligt och dokumenterat.
• IMY:s vägledningar — IMY har publicerat detaljerade riktlinjer om cookie-banners, dark patterns och samtyckets giltighet. Beslutspraxis från 2023–2025 visar vad som godtas och vad som resulterar i böter.

Sanktioner utdöms av IMY och kan uppgå till 20 MSEK eller 4 % av global omsättning (GDPR-böter) plus upp till 5 MSEK per överträdelse av LEK. Mer om detta i vår guide om IMY-sanktioner 2025–2026.

Lagen om elektronisk kommunikation (LEK) §19 fastslår att den som lagrar eller hämtar uppgifter från en terminal­utrustning måste informera användaren om:

1. vilka uppgifter som behandlas,
2. syftet med behandlingen, och
3. ge användaren möjlighet att neka behandlingen.

Undantaget gäller strikt nödvändiga cookies — t.ex. sessionshantering och varukorgar.

Vad räknas som giltigt samtycke?

IMY har i sina beslut konstaterat att samtycke är ogiltigt om:

• Knappen "Acceptera" är mer framträdande än "Avvisa" — dark pattern som IMY fällde ATG för 2024.
• Förvals­checkboxar är förkryssade — pre-ticked boxes är olagliga enligt EU-domstolens Planet49-dom (C-673/17).
• Samtycke via scrollning eller fortsatt surfande — implicit samtycke duger inte.
• Bundlat samtycke — du kan inte kräva att användaren accepterar spårning för att nå innehåll (med begränsade undantag för "cookie walls" under vissa villkor).
• Cookies sätts innan användaren interagerat med bannern — detta är den vanligaste överträdelsen och direktverktyget kan påvisa det.

Vad gäller efter samtycke?

Samtycket ska dokumenteras (tidsstämpel, version av samtyckesbannern, vilka kategorier som accepterades). En CMP (Consent Management Platform) hanterar detta automatiskt. Samtycket gäller normalt 12 månader, sedan måste du inhämta nytt.

IMY:s vägledning och EDPB:s riktlinjer (05/2020) specificerar vad en cookie-banner måste innehålla för att samtycket ska vara giltigt:

Obligatoriska element

• Tydlig "Neka alla"-knapp på första lagret — lika lätt att klicka som "Acceptera alla". Knapparna ska ha likvärdig storlek, färg och placering.
• Ändamål per kategori — analysera (Analytics), marknadsföring (Marketing), funktionella cookies etc. ska beskrivas.
• Lista på tredjepartsleverantörer (Google Analytics, Meta Pixel, HubSpot, etc.) med länk till deras integritetspolicyer.
• Granulär kontroll — användaren ska kunna acceptera vissa kategorier men avvisa andra (t.ex. acceptera funktionella men avvisa marknadsföring).
• Länk till integritetspolicy och cookiepolicy direkt i bannern.
• Möjlighet att ändra samtycke — en synlig länk (t.ex. "Cookieinställningar" i footern) för att uppdatera valet när som helst.

Förbjudna dark patterns

• Grå "Neka"-knapp mot vit bakgrund medan "Acceptera" är primärfärgad (kontraststyrd design)
• Bannern glider undan om användaren scrollar (scroll-based consent)
• "Mer information"-länk för att neka men direkt knapp för att acceptera
• Negativt formulerade val ("Stäng av cookies?" vs "Sätt cookies")
• Automatisk stängning av bannern utan val

Northverify kontrollerar automatiskt om din cookie-banner saknar "Neka"-knapp, sätter cookies innan samtycke, eller uppvisar dark patterns. Se hur det fungerar i vår guide om hur skanningen fungerar.

En Consent Management Platform (CMP) automatiserar insamling, lagring och hantering av cookie-samtycken. Du behöver inte koda samtyckes­logiken från grunden — en CMP tar hand om bannern, dokumentationen och integrationen med Google Consent Mode v2.

Populära CMP-alternativ för svenska sajter

• Cookiebot (Cybot) — danskt verktyg, IAB TCF-certifierat, automatisk cookie-scanning. Prisnivå: gratis upp till 1 domän/500 undersidor, sedan €9–€49/mån. Jämförelse: Northverify vs Cookiebot.
• OneTrust — enterprise GRC-plattform med CMP-modul, från $10 000/år. Relevant för medelstora och stora bolag med komplexa samtyckesbehov. Se Northverify vs OneTrust.
• iubenda — italiensk tjänst populär bland SMB, integreras med WordPress/Shopify/WooCommerce. Prisnivå: från €27/år.
• CookieYes — enkel WordPress-plugin, IAB TCF 2.2, gratis grundplan. Populär bland bloggare och enkla sajter.
• Klaro — open source-alternativ för tekniska team som vill ha full kontroll. Kräver mer manuell konfiguration.

Vad ska du kräva av din CMP?

• IAB TCF 2.2-certifiering (för annonsering)
• Google Consent Mode v2-integration
• Automatisk cookie-scanning (uppdaterar cookielistan)
• Samtyckes­loggning med GDPR-kompatibel lagring
• Granulär kategorihantering (Analytics, Marketing, Functional, Necessary)
• A/B-testning av banners
• Support för svenska och engelska

Oavsett vilken CMP du väljer måste du verifiera att den faktiskt blockerar cookies tills samtycke ges. Northverify kontrollerar detta automatiskt som en del av cookie- och ePrivacy-skanningen.

Google Consent Mode v2 (GCM v2) är Googles ram för att respektera besökarens samtyckesbeslut i Analytics och Ads. Sedan mars 2024 krävs GCM v2 för alla som använder Google Ads (Performance Max, remarketing) i Europa — annars påverkas konverteringsspårning och budoptimering negativt.

Hur GCM v2 fungerar

Med GCM v2 skickar Google Analytics "pinged" data även för besökare som avvisar cookies — men utan personuppgifter. Google använder modellering (behavioral modeling) för att uppskatta konverteringar. Detta är inte ett sätt att kringgå samtycket — inga cookies sätts utan tillåtelse.

Implementation via GTM

Det enklaste sättet är att låta din CMP integrera direkt med Google Tag Manager. De flesta CMP:er (Cookiebot, OneTrust, iubenda, CookieYes) har färdiga GTM-templates. Konfigurera:

1. Lägg in CMP:ns GTM-tag som första tag i GTM (hög prioritet)
2. Aktivera Consent Initialization-triggern
3. Konfigurera GA4 och Ads-taggar att respektera analytics_storage och ad_storage
4. Testa med Chrome DevTools → Application → Cookies — inga GA-cookies ska finnas innan samtycke

IMY (Integritetsskyddsmyndigheten) genomförde 2024 en riktad tillsynskampanj mot svenska webbplatser och utfärdade sanktionsavgifter i flera uppmärksammade fall:

• ATG (7 MSEK) — dark pattern-design: "Acceptera"-knappen var grön och framträdande; "Hantera cookies" krävde tre klick för att neka. IMY konstaterade att samtycket inte var frivilligt.
• Aller Media — förval­da checkboxar för marknadsföringscookies. IMY fann att detta strider mot GDPR Art. 7 och Planet49-praxis.
• Warner Music — cookies satta omedelbart vid sidladdning, innan bannern visades. Klassisk teknisk implementation­brist.

Gemensamt för alla fallen: problemen var väl­kända, tekniskt enkla att åtgärda, och bolaget hade fått chansen att rätta till dem. IMY:s linje är klar — upprepade överträdelser ger högre sanktioner.

Hur du undviker samma misstag

1. Skanna din sajt regelbundet med ett automatiserat verktyg
2. Verifiera att inga spårningscookies sätts innan samtycke (Network-fliken i DevTools)
3. Se till att "Neka"-knappen är lika synlig som "Acceptera"
4. Dokumentera samtyckes­versioner och ändringsloggar
5. Uppdatera cookielistan när du lägger till nya tjänster

Northverify automatiserar steg 1 och 2 — vi kör en headless Chromium-instans och loggar varje cookie som sätts innan besökaren interagerat med bannern. Resultaten presenteras direkt i compliance-rapporten med allvarlighetsgrad och åtgärdsrekommendationer.

EU:s ePrivacy-förordning (ePR) har diskuterats sedan 2017 och är tänkt att ersätta det nuvarande ePrivacy-direktivet (implementerat i Sverige som LEK). Förordningen är fortfarande under förhandling i rådet och Europaparlamentet — det finns ingen bekräftad ikraftträdelsedag för 2026.

Vad ePrivacy-förordningen föreslår

• Direkt tillämplig i alla EU-länder (ingen nationell implementering)
• Möjlighet att hantera samtycke via webbläsarinställningar istället för per-sajt-banner
• Striktare regler för OTT-tjänster (WhatsApp, Signal, Gmail)
• Klarare undantag för statistik och säkerhetscookies

Vad det betyder för dig idag

Tills ePrivacy-förordningen träder i kraft gäller nuvarande LEK och GDPR fullt ut. Att bygga en compliant cookie-hantering nu är dessutom bra förberedelse — de principiella kraven (samtycke, granularitet, dokumentation) kommer att bestå.

Se vår artikel om cookie-banner enligt GDPR 2026 för de senaste IMY-kraven och konkreta exempel.