Cookies innan samtycke – sa atgardar du problemet

Cookies innan samtycke – Så åtgärdar du problemet

Om Google har meddelat att "Cookies sparas innan samtycke har getts" på din webbplats innebär det att Googles cookies (och eventuellt andra tredjepartscookies) sätts i besökarens webbläsare redan vid sidladdning – innan användaren har haft möjlighet att godkänna eller neka cookies via din cookiebanner. Detta är ett brott mot både GDPR och Googles EU User Consent Policy.

Varför är det ett problem?

Enligt GDPR och ePrivacy-direktivet krävs aktivt samtycke innan icke-nödvändiga cookies placeras. Google kräver att inga cookies sätts förrän användaren aktivt bekräftar sitt samtycke – detta gäller oavsett om annonserna är anpassade eller inte. Google behöver cookies både för anpassade och icke-anpassade annonser, men de får bara sättas efter samtycke.

Om cookies sätts före samtycke behandlas användardata utan laglig grund, vilket kan leda till:

• Begränsningar i ditt Google Ads-konto (remarketing, konverteringsmätning, målgruppsanpassning)
• Potentiella GDPR-böter från dataskyddsmyndigheter
• Förlorad tillgång till Enhanced Conversions och smarta budstrategier

Vanliga orsaker till att cookies sätts före samtycke

1. Google Tag Manager laddas utan Consent Mode

Om Google Tag Manager (GTM) laddas på sidan utan att Consent Mode är konfigurerat kommer taggar att triggas direkt vid sidladdning. GA4, Google Ads-taggen och andra Google-taggar sätter cookies automatiskt om de inte förhindras.

Lösning: Implementera Google Consent Mode v2 med default-värden satta till 'denied'. Detta gör att Googles taggar visserligen laddas men inte sätter cookies förrän samtycke uppdateras till 'granted'.

2. CMP blockerar inte korrekt

Många CMP-lösningar (Consent Management Platforms) erbjuder automatisk skriptblockering – men standardkonfigurationen är inte alltid korrekt. Om CMP:n inte känner igen alla Google-skript, eller om blockeringen inte aktiveras i tid, kan cookies sättas under de millisekunder innan CMP:n laddar.

Lösning: Kontrollera din CMP:s blockeringsinställningar. Se till att alla Google-cookies (_ga, _gcl_au, _gid, _gac, IDE, DSID, test_cookie) klassificeras som "marknadsföring" eller "statistik" och kräver samtycke. Alternativt – använd Consent Mode istället för skriptblockering.

3. Hardkodade skript i sidkällan

Om Google Analytics, Google Ads-konverteringskod eller andra trackingskript är direktinlagda i HTML-koden (utanför GTM) kan de köras och sätta cookies innan CMP:n hinner ladda. Detta är särskilt vanligt på webbplatser som migrerat från äldre plattformar.

Lösning: Flytta alla trackingskript till GTM och hantera dem via Consent Mode. Ta bort alla hardkodade Google-skript från din sidkälllkod.

4. Tredjepartsplugins och integrationer

WordPress-plugins, chatwidgets, analysverktyg och andra tredjepartstjänster kan sätta cookies utan att gå via din CMP. Även om dessa inte är Google-cookies kan de trigga Googles varning om de identifieras som del av en bredare samtyckesöverträdelse.

Lösning: Gör en fullständig cookie-audit av din webbplats. Identifiera alla cookies som sätts och säkerställ att varje icke-nödvändig cookie blockeras innan samtycke ges.

Så testar du om cookies sätts före samtycke

1. Öppna ett inkognitofönster i Chrome.
2. Öppna Developer Tools (F12) och gå till fliken Application → Cookies.
3. Navigera till din webbplats – interagera inte med cookiebannern.
4. Kontrollera vilka cookies som har satts. Du bör inte se några Google-cookies (_ga, _gcl_au, _gid etc.) innan samtycke ges.
5. Acceptera cookies i bannern och verifiera att Google-cookies nu dyker upp.

Du kan även använda verktyg som Cookiebot Scanner, BuiltWith eller OneTrust Cookie Scanner för en mer komplett analys.

Rekommenderad lösning: Consent Mode + CMP

Den bästa lösningen är att kombinera Google Consent Mode v2 med en CMP:

1. Consent Mode sätts till 'denied' som default vid sidladdning.
2. Googles taggar laddas men sätter inga cookies och samlar ingen personidentifierbar data.
3. När användaren ger samtycke uppdateras Consent Mode till 'granted'.
4. Erst då börjar cookies sättas och full datainsamling aktiveras.

Fördelen med Consent Mode framför ren skriptblockering är att Google fortfarande kan samla in anonymiserad, aggregerad data även utan samtycke – vilket ger dig bättre modellerade konverteringar och bättre data att optimera mot.

Behöver du hjälp?

Att identifiera och åtgärda alla cookies som sätts före samtycke kan vara tekniskt komplext, särskilt på webbplatser med många integrationer och plugins. Vi på Growth Hackers genomför fullständiga cookie-audits och implementerar Consent Mode med din CMP för att säkerställa att din webbplats är compliant.

Boka en kostnadsfri cookie-audit, eller läs mer om våra mätnings- och analystjänster.

Vanliga frågor

Räcker det att blockera Google-cookies, eller måste alla cookies blockeras?

Googles policy fokuserar på Googles egna cookies, men GDPR kräver samtycke för alla icke-nödvändiga cookies. Vi rekommenderar att du hanterar samtliga cookies korrekt – det skyddar dig både mot Googles restriktioner och mot GDPR-böter.

Vad är skillnaden mellan att blockera skript och att använda Consent Mode?

Skriptblockering förhindrar att taggen körs överhuvudtaget. Med Consent Mode körs taggen men i ett begränsat läge som inte sätter cookies eller samlar persondata. Fördelen med Consent Mode är att Google kan modellera konverteringar och fylla i datalgapp, vilket ger bättre data i dina rapporter.

Hur snabbt upptäcker Google att jag har åtgärdat problemet?

Google granskar webbplatser regelbundet, men det kan ta dagar till veckor innan dina ändringar registreras. Du kan påskynda processen genom att begära en ny granskning via Googles support eller via euucp-escalations@google.com.