Kontakta oss
Kontakta oss

Våra kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige
Karriär hos Siteflow

Följ oss

Cookie-bannern och IMY — vad du måste göra rätt 2026 | Siteflow

Sedan Integritetsskyddsmyndighetens (IMY) tillsynsbeslut i april 2025 har det blivit tydligt vad svenska företag faktiskt riskerar när cookie-bannern är slarvigt byggd. Beslutet handlade om så kallade dark patterns — designgrepp som puttar besökaren mot att tacka ja även när hen egentligen vill avstå. Och IMY är inte längre intresserad av varningar. De skriver viten.

Den här artikeln går igenom vad IMY tittar på, vad som faktiskt klassas som olagligt 2026, och hur du på en minut kan testa om din egen banner är godkänd. Den är ett komplement till vår längre guide Cookies och GDPR 2026 — där förklarar vi grunderna, här går vi på detaljerna som fäller företag i tillsyn.

Vad är dark patterns — och varför bryr sig IMY?

Ett dark pattern är ett gränssnittsval som utnyttjar psykologi för att få användaren att göra något hen annars inte hade valt. I cookie-banner-sammanhang handlar det nästan alltid om att göra "Acceptera alla" lockande och "Avvisa" svår att hitta.

EU:s GDPR och svenska Lagen om elektronisk kommunikation (LEK 9 kap) ställer båda samma krav på samtycke: det ska vara frivilligt, specifikt, informerat och otvetydigt. Om bannern är designad så att besökaren i praktiken pressas att samtycka, är samtycket inte frivilligt — och då finns det rättsligt sett inget samtycke alls. Det spelar ingen roll hur många miljoner som klickat "OK".

Det är detta IMY har börjat granska systematiskt. Och det är därför en banner som ser "fin" ut kan vara olaglig.

Sex saker IMY anser olagligt 2026

Utifrån IMY:s tillsynsbeslut och europeiska riktlinjer (EDPB Guidelines 03/2022) är det här de sex vanligaste felen som direkt diskvalificerar samtycket:

1. "Acceptera"-knapp mer framträdande än "Avvisa". Om "Godkänn alla" är en stor blå knapp och "Avvisa" är en grå textlänk är spelet redan kört. De båda knapparna ska ha samma visuella vikt — samma storlek, samma färgkontrast, samma placering. Detta är det enskilt vanligaste skälet till sanktionsavgift.

2. Förvalda kryssrutor för icke-nödvändiga cookies. Förikryssade rutor för statistik eller marknadsföring är förbjudna. EU-domstolen slog fast detta redan i Planet49-domen 2019, men det förvånar fortfarande hur många svenska sajter som har det.

3. Cookies som sätts INNAN bannern visas. Om din sajt laddar Google Analytics, Facebook-pixeln eller en YouTube-inbäddning redan på första sidladdningen — innan besökaren har klickat på något — har du brutit mot LEK 9 kap. Detta är tekniskt svårt att upptäcka utan ett verktyg som scannar nätverkstrafiken.

4. Saknad "Avvisa alla"-knapp på första nivån. Det räcker inte att gömma "Avvisa" bakom "Anpassa inställningar" eller "Läs mer". Det ska vara lika många klick att tacka nej som att tacka ja. Punkt.

5. Cookie-wall. Vissa sajter blockerar hela innehållet tills besökaren accepterat. "Acceptera eller lämna sidan" är inte ett fritt val — och därmed inte ett giltigt samtycke. Det finns undantag (betalmurar med tydligt alternativ), men för en vanlig kommersiell sajt är cookie-wall i princip alltid olagligt.

6. Otydligt språk eller "fortsätt = samtycke". Texter som "genom att fortsätta använda sajten godkänner du våra cookies" har inte räknats som giltigt samtycke sedan 2020. Inte heller "Vi värnar din integritet" följt av en enda OK-knapp.

Vad det faktiskt kostar

IMY:s sanktioner sprider sig över hela storleksskalan. I den lägre änden finns viten på några tiotusen kronor — exempelvis fick Klarna en sanktionsavgift i den storleksordningen för bristande information i ett specifikt avseende. I den övre änden ligger viten på flera tiotals miljoner kronor mot större aktörer för otillräcklig transparens och olaglig dataöverföring.

Det viktiga är inte exakta siffror. Det viktiga är att tröskeln för att få ett vite har sänkts dramatiskt. IMY kontrollerar i dag aktivt mindre svenska sajter — inte bara de globala koncernerna. En e-handel med femtio anställda kan mycket väl få en sanktionsavgift på 200 000–500 000 kr för en banner som är felbyggd. Det är inte längre teoretiskt.

Google Consent Mode v2 — det tekniska kravet

Parallellt med IMY:s tillsynsbeslut införde Google i mars 2024 sitt krav på Consent Mode v2. Det är inte en EU-lag, men det är ett praktiskt krav om du använder Google Analytics, Google Ads eller Google Tag Manager.

Consent Mode v2 är ett protokoll där din cookie-banner skickar fyra signaler till Google: analytics_storage, ad_storage, ad_user_data och ad_personalization. Beroende på vad besökaren samtyckt till justerar Google sin databehandling.

Konsekvensen om du inte har det implementerat:

  • Du tappar konverteringsspårning i Google Ads. Remarketing-listor fylls inte på.
  • Google Analytics visar tomma siffror för EU-besökare som inte gett samtycke.
  • Smart Bidding presterar sämre eftersom Google saknar signaler.

En korrekt cookie-banner från Cookiebot, iubenda eller en välbyggd egen lösning hanterar Consent Mode v2 automatiskt. Men det är en konfiguration som måste sättas upp — den finns inte "på" by default.

Hur testar du din egen sajt?

Det enklaste sättet att se om din banner är godkänd är att låta ett verktyg göra grovjobbet. Vi har byggt en gratis cookie-checker som scannar din sajt och rapporterar exakt vad som händer:

Kör cookie-check på siteflow.se/verktyg/cookie-check — du klistrar in din URL, vi laddar sidan, mäter vilka cookies som sätts innan samtycke, vilka tredjepartsskript som körs och om Consent Mode v2 är aktivt. Resultatet kommer på under en minut.

Vad du ska titta efter när du läser rapporten:

  • Cookies satta före samtycke: om listan är längre än rent funktionella sessions-cookies har du ett problem.
  • Tredjepartsdomäner: Google, Facebook, HubSpot, Hotjar — om de laddas direkt utan samtycke är det ett brott mot LEK 9 kap.
  • Consent Mode v2-signaler: rapporten visar om signalerna skickas till Google.

Om allt är grönt — bra, du är troligen i mål. Om något är rött är det dags att agera.

Steg-för-steg: vad gör jag idag?

Om din cookie-check avslöjar problem, här är ordningen att lösa det i:

  1. Pausa kampanjerna inte. Det är frestande att panik-stänga Google Ads, men problemet är inte spårningen — problemet är samtycket. Lös bannern först.
  2. Inventera vilka tredjepartsskript du faktiskt använder. Många sajter har gamla pixlar kvar från verktyg som inte längre används. Ta bort dem.
  3. Implementera en CMP. Cookiebot eller iubenda kostar några hundralappar i månaden och fixar 95 procent av problemen.
  4. Konfigurera Consent Mode v2. Görs antingen via CMP:ns inbyggda integration eller via Google Tag Manager.
  5. Testa igen. Kör cookie-check en gång till för att bekräfta att inga cookies sätts före samtycke.
  6. Logga samtycken. Vid en granskning kommer IMY be om bevis på att besökare faktiskt klickat aktivt. Cookiebot loggar detta automatiskt.

När det är dags att ta in hjälp

Om du har försökt och inte fått bannern att bli grön — eller om du helt enkelt inte vill lägga timmar på Tag Manager-konfiguration — är det vad vi gör.

Siteflow bygger om din cookie-banner och sätter upp Consent Mode v2 från 2 950 kr. Det inkluderar inventering av befintliga cookies och tredjepartsskript, installation och konfiguration av Cookiebot (eller motsvarande), korrekt blockering av skript före samtycke, Consent Mode v2-integration mot Google, och en sluttest så vi vet att det är grönt.

Hör av dig så löser vi det — det tar oss normalt en arbetsdag och du behöver inte lyfta ett finger.

FAQ

Vad är skillnaden mellan GDPR och LEK 9 kap? GDPR reglerar personuppgifter generellt. LEK (Lagen om elektronisk kommunikation) 9 kap reglerar specifikt det som händer i besökarens webbläsare — alltså cookies och liknande tekniker. Bryter du mot LEK är det IMY som sanktionerar.

Räknas Google Analytics i anonymiserat läge som "nödvändigt"? Nej. Trots IP-anonymisering och Consent Mode måste du fortfarande ha samtycke. Det finns ingen "Analytics-utan-banner"-väg 2026.

Vad räknas som "lika lätt att avvisa"? Praxis enligt EDPB: samma antal klick, samma visuella vikt, samma placeringslogik. En "Avvisa alla"-knapp bredvid "Acceptera alla" är säker. En textlänk i hörnet är inte.

Får jag använda "berättigat intresse" som rättslig grund för marknadsförings-cookies? Nej. För cookies som inte är strikt nödvändiga är samtycke enda giltiga grunden enligt LEK 9 kap.

Hur ofta granskar IMY? Det finns ingen offentlig plan. Men efter 2025 års tillsynsbeslut är det tydligt att slumpvisa granskningar av mindre svenska företag är vardag — inte undantag.

Relaterade artiklar

Fler artiklar

Hemsida för restaurang 2026 — komplett guide | Siteflow

Allt restauranger behöver veta om sin hemsida 2026: meny, bokning, takeaway-integration, lokal SEO, foto, GBP. Konkreta exempel och pris-fakta.

Read more

Hemsida för frisör 2026 — så får du fler bokningar | Siteflow

Allt frisörer behöver för sin hemsida 2026: direktbokning, portfolio, Instagram-integration, prisinformation, lokal SEO + Google Business.

Read more

Berätta om ert projekt

Säg hej

Vårt kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige