Sök Logga in

Inventera kakor på din webbplats med Screaming Frog - de flesta kakor är olagliga utan samtycke!

Marcus Österberg Skapad 2025-02-09, uppdaterad 2025-03-19 6 minuters läsning GDPR PTS Siteimprove
Tre kakor som staplats på varandra

Inte ens tillsynsmyndigheten PTS får till det här med kakor på webben! Men vet du vad? Det finns ett fiffigt verktyg för att kontrollera din webbplats olika kakor.

I veckan skrev Dagens Nyheter om att PTS bröt mot sina egna regler genom att lagra kakor utan godkännande:

“I Sverige är det Post- och telestyrelsen (PTS) som ansvarar för att cookielagarna faktiskt följs. 2023 meddelade myndigheten efter en tillsyn av fyra stora sajter att ingen av webbsidorna följde lagen.
Men faktum är att PTS inte heller själva följer lagarna de har tillsyn över. Myndigheten sparade kakor från Youtube och moderbolaget Google på besökares datorer fram till mitten av januari.”

Egentligen är det här med kakor väldigt enkelt. Låt bli om du inte måste! Högst legitima saker som är nödvändiga för kakor är inget man behöver be om samtycke för. Tänk sessionskakor för att hålla reda på att en person loggat in på sitt konto eller att det lagts saker i en kundvagn.

Men PTS har nog inte riktigt löst problemet med kakor på sin webbplats. Så här ser det ut på deras startsida den 8:e februari. De sätter 17 stycken kakor innan besökaren eventuellt svarar på samtycket. Är verkligen alla 17 nödvändiga? Det verkar långsökt.

Post- och Telestyrelsens webbplats sätter 17 st kakor utan samtycke.
Bild 1: Post- och Telestyrelsens webbplats sätter 17 st kakor utan samtycke.

Om man som jag blockerar onödiga tredjeparter kommer man också ducka att PTS försöker blanda in Siteimprove Analytics. PTS ber om samtycke för att Siteimprove Analytics ska få sätta en kaka i våra webbläsare. Men som nedan skärmdump visar har Siteimprove Analytics redan fått en signal från din webbläsare. Det inkluderar din IP-adress, vilket Integritetsmyndigheten betraktar som en personuppgift.
Vad är personuppgifter? (IMY)

PTS låter Siteimprove Analytics delta som tredjepart utan samtycke
Bild 2: Post- och Telestyrelsen blandar även in tredjeparten Siteimprove Analytics utan samtycke.

Notera att jag inte har åsikter om Siteimproves verksamhet här! Jag kommenterar enbart myndigheten PTS. Jag har lärt mig att inte säga varken positiva eller negativa saker om Siteimprove. Mer om detta finns på nedan länk:
Siteimprove och Siteimprove Analytics-bloggposter raderade efter juridiska påtryckningar

Problemet är inte de nödvändiga kakorna utan alla andra kakor. Som för webbanalys och marknadsföring. PTS frågar korrekt om kakor för webbanalys med Siteimprove Analytics (att de verkar köra hybridspårning är snarare en GDPR-fråga).

Västra Götalandsregionen informerar på VGRfokus att man tar sig friheten att sätta analyskakor.
Bild 3: Västra Götalandsregionen informerar att man tar sig friheten att sätta analyskakor.

För att dra ännu ett exempel: Min forna arbetsgivare, Västra Götalandsregionen (VGR), där jag bland annat jobbade med digitala medier, webbanalys och kakor, missar målet på mer än ett sätt i ovanstående bild. De informerar om att de använder kakor och det ska man göra om man har nödvändiga kakor. Första missen är att baka in kakor för besöksstatistik utan möjlighet att välja bort dem. Andra missen är egentligen allvarligare eftersom de sätter de där kakorna innan besökaren klickat på Acceptera-knappen. De bryr sig inte om ett aktivt samtycke utan bara kör över sin besökare. Inte snyggt, men dessvärre är de långt ifrån ensamma.

“Ja, jo, men vi har ju Matomo för webbanalys på våra egna servrar - det är ju ofarligt! Eller?”

Det finns förstås gradskillnader i hur illa det är att sätta kakor utan att be om lov. I ovanstående exempel syns det att verktyget är Matomo Analytics och jag råkar veta att VGR driftar det internt. Så uppgifterna sprids åtminstone inte automatiskt till amerikanska IT-jättar för profilering i annonsnätverken. Men även webbanalys är nästan oundvikligen en behandling av personuppgifter. Och webbanalys med kakor är det väldigt mycket svårare att låtsas att man inte befattar sig med personuppgifter eftersom man kan följa användaren över mer än ett besök.

Nu är inte det här ett brandtal kring GDPR, utan kakor och deras samtycken, men det verkar finnas en utbredd aningslöshet både när det gäller personuppgifter och kakor.
Mitt ständiga ”botemedel” är att ta fram ett underlag för dialog bland de det berör. Att försöka få koll på läget.

En del i att få koll på läget är att försöka ta in aktuell praxis från juridiken. Den andra delen är att kolla hur man själv ligger till. I ditt underlag vill du få svar på både aktuella regler och din regelefterlevnad. Eller hur?

Webbanalys är inte nödvändiga kakor

När det gäller uttolkning av regler och lagstiftning berättade PTS 2023 att inte heller det integritetsvänliga analysverktyget Matomo Analytics kan betraktas som en nödvändig kaka. Så här kan du med rätt stor trygghet inkludera Google Analytics, Piwik PRO, Adobe Analytics och de andra.
ePrivacy: PTS beslutar att Matomo-kakor inte klassas som nödvändiga

Tumregeln är att när en kaka inte är nödvändig måste besökaren på webbplatsen aktivt godkänna varje kaka innan det är lagligt att sätta dem i besökarens webbläsare. Och du, ta inte för givet att dina kakor är nödvändiga!

Att göra en cookie audit på Malmö stad

Så hur gör du en cookie audit så du vet hur en webbplats ligger till för regelefterlevnad / compliance? Jo, SEO-verktyget Screaming Frog SEO Spider har en fiffig funktion för detta. Screaming Frog kostar cirka tre tusenlappar per år, men installeras på din dator så du kan vara trygg med hur dina data behandlas, du kan undersöka ert intranät, med mera. Och köra en mängd med olika tester så ofta som du önskar! Antagligen det mest prisvärda verktyget jag stött på.
Screaming Frogs priser

Screaming Frog finns i en enklare version som är gratis, men för en inventering av kakor måste du ha en version du betalat för. Det beror på att behöver göra konfigurationer av verktyget och det går inte med gratisversionen.

För att göra en kakinventering / cookie audit konfigurerar du Screaming Frog så här:

  1. Ange URL att börja från - startsidan på webbplatsen du ska undersöka. I nedan exempel kör vi med https://malmo.se
  2. Configuration → Crawl config → Spider → Extraction → URL details. Klicka i Cookies.
  3. Configuration → Crawl config → Spider → Rendering → Rendering. Välj Javascript.
  4. Configuration → Crawl config → robots.txt → Ignore robots.txt
  5. Configuration → Crawl config → User-Agent → Preset User-Agent. Välj Chrome.
  6. Stäng dialog.
  7. Klicka på Start

How To Perform A Cookie Audit (Screaming Frog)

För att inventera en webbplats kakor följer du ovanstående tips kring konfiguration. När webbplatsen är färdigcrawlad kan man antingen leta runt i gränssnittet för att veta vilka ställen på webbplatsen det sätts kakor. Eller så går man rakt på Reports → Cookies → Cookie summary i menyn för att få en sammanställning av hela webbplatsen.

Screaming Frog kommer ge dig sammanstälningen som en Excel-fil du kan spara till din dator. Den ser ut så här.

Kakor enligt Screaming Frog på Malmö stads webbplats
Bild 4: Kakor på malmo.se enligt Screaming Frog. Totalt 361 stycken ifall man råkar klicka igenom hela webbplatsen.

Det finns mer än ett sätt att resonera kring den lista man får av Screaming Frog. En är huruvida det är en kaka från en mindre bra tredjepart som försöker följa besökarnas beteende generellt över nätet och som uttryckligen plockar upp demografidata. Likt Doubleclick som Google köpte 2008 och vi oftast får med på köpet när vi redaktionellt delar videoklipp från Youtube. I andra extremen hittar vi tillfälliga kakor som enbart delas med webbplatsen vi valt att besöka.
Att den webbplats man besöker får ens IP-adress inser nog många av oss. Det är mindre intuitivt med tredjeparter av den enkla anledningen att vi inte vet vilka som släppts in av webbplatsen vi besöker.

Bara kakor utan samtycke listas

Vad är det då man får ut av den Cookie Audit som Screaming Frog ger? Jo, först och främst är det värt att nämna att endast kakor utan samtycke listas. Det vill säga att precis alla kakor man snubblar över med denna metod är sådana man som webbansvarig ska kunna förklara som väldigt motiverade och nödvändiga. Dessa kakor har nämligen lyckats ducka för webbplatsens hantering av kakor.

“Vi bryr oss om din integritet…”

Du vet de där irriterande frågorna om kakor man får innan man når fram till en webbplats? De kommer ofta från en så kallad CMP (Consent Management Platform), som är ett verktyg för att hantera användares samtycke för cookies i enlighet med kaklagen och GDPR. Vanliga aktörer är CookieHub och danska Cookie Information.

Kakplattformar visar ofta en cookie-banner som låter användare välja vilka cookies de vill acceptera, och den kan dynamiskt justera vilka cookies som aktiveras baserat på användarens val. Detta skyddar användarnas integritet, skapar transparens och hjälper organisationer att följa regelverk och att undvika böter.

Kör man igenom knappt 2000 stycken sidor på Malmö stads webbplats upptäcks nästan 400 kakor som inte bryr sig om ett aktivt samtycke. De landar i besökarens webbläsare oavsett.

Tredjepartskakor delar IP-adresser, vilket är en personuppgift

När det gäller aktörer som inte är den förstapart, Malmö stad alltså, som man kommunicerar med blir det snabbt ganska problematiskt. När en tredjepart sätter en kaka på en webbplats som Malmö stads, kan de samla in olika typer av information beroende på kakan och dess syfte. IP-adress är oundvikligt för att det är direktkommunikation med tredjeparten och det är en personuppgift = GDPR, info om prylen eller webbläsaren som användare kör med, beteende på webbplatsen, preferenser, geografisk plats, hänvisningswebbplats och diverse identifierare.

Det är rätt allvarligt och inte alls i linje med GDPR:s principer! Däremot är det ganska vanligt, dessvärre.

Det jag hittar är kakor som tyder på att Malmö stads webbplats kör med Matomo, Google Analytics på sina underdomäner, men också tredjeparter som Twitter, Youtube och Linkedin. Utan att be om samtycke, alltså.

Dessa borde stoppas in bakom en kakdialog, förstås. Tyvärr är det många som inte har koll på hur man inventerar kakor. Förhoppningsvis hjälper denna bloggpost dessa på traven.

Mer om inventering av kaksamtycken

Relaterat innehåll

Foto av en arbetsstation med skärm och tangentbord

En titt på Skandia Fastigheters nya webbplats

Ibland när jag får höra talas om en nysläppt webbplats blir jag nyfiken på att kolla hur den presterar. Det här är ett sådant exempel då jag via Linkedin snubblade över att Skandia fastigheter blivit med ny webb.