Cookiepolitik: hvad kræver GDPR af din hjemmeside?

# Cookiepolitik: hvad kræver GDPR af din hjemmeside?

Næsten alle hjemmesider bruger cookies. Alligevel er cookiereglerne et af de GDPR-områder, hvor flest virksomheder stadig begår fejl — enten ved at mangle en cookiepolitik, bruge en forkert type cookiebanner eller indsamle samtykke på en ugyldig måde.

Denne guide forklarer, hvad du konkret skal have på plads: hvilke cookietyper der kræver samtykke, hvad en cookiepolitik skal indeholde, og hvad Datatilsynet specifikt forventer af danske hjemmesider.

Hvad er en cookie?

En cookie er en lille tekstfil, som en hjemmeside gemmer i brugerens browser. Cookies bruges til mange formål: at huske login-status, gemme indkøbskurv, måle trafik og vise målrettede annoncer.

GDPR og den tilhørende cookiebekendtgørelse (bekendtgørelse nr. 1148 af 9. december 2011, som ændret) regulerer, hvornår du må sætte cookies, og hvad du skal oplyse brugerne om.

De fire cookietyper

1. Nødvendige cookies (tekniske cookies)

Disse cookies er nødvendige for, at hjemmesiden teknisk set kan fungere. Det kan fx være:

• Session-cookies, der holder dig logget ind
• Cookies, der husker indhold i en indkøbskurv
• Sikkerhedscookies (CSRF-tokens)
• Cookies, der husker dit cookiesamtykke

Krav til samtykke: Ingen. Nødvendige cookies må sættes uden forudgående samtykke.

2. Præferencecookies (funktionelle cookies)

Disse cookies husker brugerens valg og personaliserer oplevelsen — fx foretrukket sprog, valuta eller brugergrænseflade-indstillinger.

Krav til samtykke: Ja, kræver samtykke, medmindre de udelukkende tjener brugerens eget ønske.

3. Statistik- og analysecookies

Disse cookies indsamler anonyme eller pseudonyme data om, hvordan brugere interagerer med hjemmesiden — fx Google Analytics, Hotjar, Matomo.

Krav til samtykke: Ja. Google Analytics og lignende kræver samtykke, medmindre dataene er fuldt anonymiserede (umuligt at linke til en person) og ikke videregives til tredjeparter.

4. Marketingcookies (målretningscookies)

Disse cookies bruges til at vise målrettede annoncer og spore annoncekampagner — fx Facebook Pixel, Google Ads, LinkedIn Insight Tag.

Krav til samtykke: Ja, og her er kravene strengest. Mange platforme kræver eksplicit, specifikt samtykke for hver enkelt tjeneste.

Hvad er et gyldigt cookiesamtykke?

GDPR Artikel 7 og ePrivacy-direktivet (cookiebekendtgørelsen) opstiller klare krav til, hvad der udgør et gyldigt samtykke:

Kravene til gyldigt samtykke

1. Frivilligt — du må ikke afskære adgang til hjemmesiden, hvis brugeren afviser cookies (medmindre de er strengt nødvendige)

2. Specifikt — samtykket skal gælde for konkrete formål og cookies, ikke en generel "accepterer alle"-løsning uden oplysninger

3. Informeret — brugeren skal vide, hvilke cookies der sættes, hvem der sætter dem, og til hvilke formål

4. Utvetydigt — samtykket skal komme fra en aktiv handling (klik), ikke fra forudfyldte checkbokse eller stiltiende accept ved fortsat brug

Hvad er ikke gyldigt samtykke?

• "Vi bruger cookies. Fortsat brug af siden anses som accept" — ugyldig. Stiltiende accept accepteres ikke.
• Forudfyldte checkbokse for analytiske eller marketingcookies — ugyldig.
• Kun én knap "Accepter alle" uden mulighed for at afvise eller tilpasse — grænsetilfælde. Datatilsynet har udtalt, at afvisningsknappen skal fremgå lige så tydeligt som acceptknappen.
• Cookie-mur (adgang blokeres, hvis ikke cookies accepteres) — som udgangspunkt ugyldig, medmindre der tilbydes et reelt alternativ.

Hvad skal en cookiepolitik indeholde?

En cookiepolitik er et dokument — typisk en side for sig selv eller et afsnit i privatlivspolitikken — der dokumenterer og forklarer brugen af cookies. Følgende elementer er obligatoriske:

1. Oversigt over cookies med beskrivelse

Angiv for hver cookie (eller cookiekategori):

• Navn på cookie
• Formål
• Leverandør/tredjepart
• Levetid (session-cookie eller varig cookie med angivelse af varighed)
• Cookietype (nødvendig, præference, statistik, marketing)

2. Retsgrundlag for behandlingen

Oplys for ikke-nødvendige cookies, at retsgrundlaget er samtykke (GDPR Artikel 6, stk. 1, litra a).

3. Oplysning om tredjepartskokkies

Bruger du cookies fra Google, Meta, LinkedIn eller andre, skal disse nævnes — brugeren skal vide, at tredjeparter sætter cookies via din hjemmeside.

4. Ret til tilbagetrækning af samtykke

Brugeren skal til enhver tid nemt kunne tilbagetrække et givet samtykke. Cookiebanneret skal tilbyde nem adgang til at ændre præferencer.

5. Link til tredjeparts privatlivspolitikker

Angiv links til privatlivspolitikkerne for de tredjeparter, der sætter cookies via din side.

Hent cookiepolitik-skabelon →

Datatilsynets vejledning om cookies

Datatilsynet har offentliggjort en detaljeret vejledning om brug af cookies (tilgængelig på datatilsynet.dk). Vejledningens vigtigste pointer for praktisk implementering:

Forbudt mod "nudging"

Datatilsynet har specifikt advaret mod designmæssig manipulation, der gør det vanskeligere at afvise cookies end at acceptere dem. Det inkluderer:

• Acceptknap i kraftig farve, afvisningsknap i grå/svag farve
• "Accepter alle" med én klik, "Tilpas indstillinger" skjult i tredje lag
• Stor, fremtrædende accept-knap vs. lille tekstlink for afvisning

Dokumentation for samtykke

Du skal kunne dokumentere, at et samtykke er indhentet — hvornår, af hvem, for hvilke cookies, og hvad brugeren konkret så, da samtykket blev afgivet. De fleste consent management platforms (CMP'er) håndterer dette automatisk.

Opdatering ved nye cookies

Indfører du nye cookies (fx et nyt analyseværktøj), skal cookiepolitikken opdateres, og brugerne skal præsenteres for et nyt samtykkeflow for de nye cookies.

Cookiebanner: hvad skal det indeholde?

Cookiebannerets udformning har direkte betydning for, om samtykket er gyldigt. Et korrekt banner indeholder:

• Kort, klar beskrivelse af, hvad cookies bruges til
• Knap til at acceptere alle (ikke-nødvendige) cookies
• Knap til at afvise alle (ikke-nødvendige) cookies — lige så fremtrædende som acceptknappen
• Link til cookiepolitikken for nærmere oplysninger
• Mulighed for granulært samtykke — ideelt set mulighed for at acceptere/afvise pr. kategori

Hvad hvis jeg driver en webshop?

En webshop bruger typisk alle fire cookietyper — og dertil kommer handelsbetingelser, som skal informere brugeren om vilkår for køb. Det er vigtigt, at du både har en cookiepolitik og [handelsbetingelser](/skabeloner/handelsbetingelser), der tilsammen dækker alle oplysningspligter.

Specifikt for webshops er det vigtigt at skelne mellem:

• Nødvendige cookies til indkøbskurv og checkout
• Analytiske cookies til konverteringssporing (kræver samtykke)
• Remarketing-cookies (Facebook Pixel, Google Ads Remarketing) — kræver eksplicit samtykke

Sælger du til kunder i andre EU-lande, gælder det pågældende lands ePrivacy-implementering, hvilket kan medføre strengere regler (fx Frankrig via CNIL og Tyskland via TTDSG).

Valg af Consent Management Platform (CMP)

En CMP er et teknisk system, der håndterer visning af cookiebanner, indhentning og lagring af samtykke, og opdatering af cookielisten. Populære CMP'er i Danmark:

• Cookiebot (dansk løsning fra Cybot, IAB TCF-certificeret)
• Usercentrics
• OneTrust
• CookieYes

Vælger du en CMP, bør den understøtte IAB's Transparency and Consent Framework (TCF) og gemme samtykkedokumentation automatisk.

Opret din cookiepolitik med LegalDock →

Bøder for cookieovertrædelser i Danmark

Datatilsynet har udstedt bøder og påbud for cookieovertrædelser:

• 2021: Datatilsynet indgav politianmeldelse mod flere danske virksomheder for brug af cookies uden gyldigt samtykke
• Koordinerede EU-håndhævelsesaktioner (Cookie Consent Taskforce) fra 2022 har resulteret i bøder på tværs af EU

Bøder for cookieovertrædelser er typisk i størrelsesordenen 25.000–500.000 kr. for danske SMB'er, afhængigt af overtrædelsens grovhed og varighed.

Ofte stillede spørgsmål

Skal jeg have cookiebanner, selv om jeg kun bruger Google Analytics?

Ja. Google Analytics (GA4) sætter cookies og videresender data til Google's servere i USA. Det kræver informeret samtykke, med mindre du bruger en fuldt anonymiseret løsning uden transmission til Google.

Kan jeg have ét samtykke for alle cookies?

Nej — du skal som minimum tilbyde mulighed for at acceptere/afvise pr. kategori (nødvendige, statistik, marketing). Et ublokeret "accepter alle" er ikke tilstrækkeligt alene.

Hvad er levetiden på et samtykke?

GDPR fastsætter ingen fast grænse, men god praksis er at forny samtykket hvert 12. måned, hvis der ikke sker ændringer i cookies. Ved ændringer skal samtykket fornyes straks.

Gælder reglerne for B2B-hjemmesider?

Ja. Cookiereglerne gælder, når cookies sættes i en persons browser — uanset om det er en privatperson eller en erhvervsperson.

Behøver jeg en separat cookiepolitikside?

Ikke nødvendigvis — cookiepolitikken kan integreres i privatlivspolitikken som et separat afsnit. Mange vælger en separat side for overskuelighed.

Konklusion

Cookiereglerne er ikke en formalitet — de handler om brugernes ret til at bestemme over, hvad der spores i deres browser. En korrekt cookiepolitik og et gyldigt cookiebanner beskytter både dine brugere og din virksomhed mod bøder fra Datatilsynet.

Start med at kortlægge, hvilke cookies din hjemmeside sætter, vurdér hvilke der kræver samtykke, og sikr, at dit cookiebanner lever op til kravene.

---

Indholdet i denne artikel er vejledende og udgør ikke juridisk rådgivning. Datatilsynets vejledninger på datatilsynet.dk er den autoritative kilde til gældende cookieregler i Danmark.