Cookiepolitik — komplet guide til cookie-erklæringer og samtykke på din hjemmeside

# Cookiepolitik — komplet guide til cookie-erklæringer og samtykke

Har din hjemmeside et cookiebanner, der bare dukker op og beder folk om at "acceptere alle"? Så er der stor sandsynlighed for, at du ikke er compliant med de gældende regler — og Datatilsynet er begyndt at kigge nærmere på netop dette.

Cookies er ikke bare et teknisk spørgsmål. De er et juridisk spørgsmål: Lov om elektronisk kommunikation (cookieloven) og GDPR stiller specifikke krav til, hvordan du indhenter og dokumenterer samtykke til brug af cookies. Denne guide forklarer reglerne og hvad din cookiepolitik skal indeholde.

Hvad er cookies?

Cookies er små tekstfiler, der gemmes på brugerens computer eller enhed, når de besøger din hjemmeside. De bruges til at:

• Huske indstillinger: Sprogvalg, login-status, indkøbskurv
• Spore brugeradfærd: Hvilke sider besøges, tid på siden, klikstrøm
• Målrette reklamer: Vise brugere annoncer baseret på deres adfærd (retargeting)
• Analysere trafik: Google Analytics, Hotjar og lignende analyseværktøjer
• Integration med sociale medier: Facebook Pixel, LinkedIn Insight Tag

Det juridiske grundlag for cookies i Danmark

Cookieloven

Lov om elektronisk kommunikation § 3 implementerer EU's ePrivacy-direktiv (2002/58/EF, ændret ved 2009/136/EF). Loven kræver:

1. At brugeren informeres klart om, at hjemmesiden anvender cookies

2. At brugeren informeres om cookies' formål

3. At brugeren giver forudgående samtykke til ikke-nødvendige cookies

GDPR og cookies

GDPR (forordning 2016/679) finder anvendelse, når cookies behandler personoplysninger (f.eks. IP-adresser, bruger-ID'er). Det betyder, at samtykke til sådanne cookies skal opfylde GDPR's samtykke-krav:

• Frivilligt: Samtykke må ikke være en betingelse for adgang
• Specifikt: Separate samtykkemuligheder for forskellige cookiekategorier
• Informeret: Brugeren skal vide, hvad de samtykker til
• Utvetydigt: Klar bekræftende handling — pre-tikkede bokse er ikke gyldigt samtykke
• Tilbagekaldigt: Brugeren skal nemt kunne trække samtykke tilbage

Datatilsynets retningslinjer

Datatilsynet har udstedt vejledninger om cookies og har i de seneste år intensiveret tilsynet. Bøder er udstedt til virksomheder med ikke-compliant cookie-bannere — herunder bannere, der gør det sværere at afvise end at acceptere cookies.

Cookiekategorier — hvad kræver samtykke?

Nødvendige cookies (ingen samtykke kræves)

Disse cookies er teknisk nødvendige for hjemmesidens grundlæggende funktioner og kan sættes uden samtykke:

• Session-cookies (login-status, indkøbskurv)
• Sikkerheds-cookies (CSRF-beskyttelse)
• Load balancing-cookies
• Cookies der husker samtykkevalg

Præference-cookies (samtykke kræves)

Cookies der husker brugerens valg og forbedrer brugeroplevelsen:

• Sprogindstilling
• Skærmstørrelsesjusteringer
• Customization af indhold

Statistik-cookies (samtykke kræves)

Cookies der indsamler anonymiserede data om, hvordan hjemmesiden bruges:

• Google Analytics (med IP-anonymisering kan der argumenteres for undtagelse — men samtykke anbefales for fuld compliance)
• Hotjar, Mouseflow og andre adfærdsanalyse-værktøjer
• Intern webstatistik

Marketing-cookies (samtykke kræves)

Cookies der bruges til målrettet annoncering og sporing på tværs af hjemmesider:

• Facebook Pixel
• Google Ads (konverteringssporing og remarketing)
• LinkedIn Insight Tag
• Snapchat Pixel

Hvad skal din cookiepolitik indeholde?

En lovgyldig cookiepolitik (cookie-erklæring) skal som minimum indeholde:

1. Hvilke cookies hjemmesiden anvender

En komplet liste over alle cookies inkl.:

• Cookie-navn
• Formål (hvad bruges den til?)
• Type (session, persistent, tredjeparts)
• Udløbsdato
• Dataansvarlig/leverandør (f.eks. Google, Meta, Hotjar)

2. Formål med de forskellige cookiekategorier

Klare og forståelige beskrivelser af, hvad de forskellige cookiekategorier bruges til og hvem der har adgang til dataene.

3. Samtykke og tilbagekaldelse

• Hvordan man giver samtykke
• Hvordan man trækker samtykke tilbage
• Link til samtykke-management (cookiebanner/CMP)

4. Links til tredjeparts privatlivspolitikker

Hvis du bruger cookies fra Google, Meta, LinkedIn m.fl., bør du linke til deres privatlivspolitikker.

5. Opdateringsdato

Angiv, hvornår cookiepolitikken sidst er opdateret.

6. Link til din privatlivspolitik

Cookiepolitikken bør linke til din [privatlivspolitik](/skabeloner/privacy_policy) for det samlede overblik over databehandling.

Opret cookiepolitik online →

Cookie Consent Management Platform (CMP)

Et CMP er den tekniske løsning, der præsenterer cookievalget for brugerne og gemmer samtykket. Et compliant CMP skal:

• Vise alle cookiekategorier med separate til/fra-muligheder
• Gøre det lige nemt at afvise som at acceptere
• Vise en klar "Afvis alle"-knap
• Ikke bruge mørkemønstre (mørkegråning af "Afvis"-knapper, komplekse menustrukturer for at afvise)
• Gemme dokumentation for samtykket (tid, valgmuligheder, version af policy)

Populære CMP-løsninger: Cookiebot (Usercentrics), OneTrust, Didomi, Iubenda.

Mørkemønstre i cookiebannere — hvad er forbudt?

Datatilsynet og de europæiske tilsynsmyndigheder (EDPB) har specifikt advaret mod:

• Asymmetrisk design: Stor grøn "Accepter alle"-knap, lille grå "Indstillinger"-link
• Pre-tikkede bokse: Marketing-cookies er som standard aktive
• Manipulerende sprog: "Hjælp os med at forbedre din oplevelse" som samtykketekst for marketing
• Cookie walls: Adgang til indholdet betinget af samtykke til ikke-nødvendige cookies

Google Analytics og samtykke

Google Analytics 4 (GA4) sætter cookies, der kan identificere brugere. Datatilsynet og EDPB har klart udtalt, at der kræves gyldigt samtykke til GA4-cookies i EU/EØS.

Alternativt kan du bruge Consent Mode v2 (Google's løsning), der modellerer data ved manglende samtykke — men dette reducerer datapræcisionen.

Dokumentation og revisionsspor

GDPR kræver, at du kan bevise, at du har indhentet gyldigt samtykke. Dit CMP bør gemme:

• Timestamp for samtykke
• Version af cookiepolitikken på tidspunktet for samtykke
• Brugerens specifikke valg (hvilke kategorier accepteret/afvist)
• IP-adresse (anonymiseret) og browser-fingerprint

Ofte stillede spørgsmål om cookiepolitik

Behøver jeg en cookiepolitik, hvis jeg kun bruger nødvendige cookies?

Du er ikke forpligtet til at indhente samtykke, men det er god praksis at informere brugerne om, at du bruger nødvendige cookies. En kort cookie-information i privatlivspolitikken er tilstrækkelig.

Er Google Analytics lovlig uden samtykke?

Nej — ikke i sin standardform. GA4-cookies identificerer brugere og kræver samtykke i EU/EØS. Datatilsynet har bekræftet dette. Du skal enten indhente samtykke via et CMP eller skifte til en cookiefri analyseløsning (f.eks. Plausible, Fathom).

Hvad er konsekvensen af at mangle en lovgyldig cookiepolitik?

Datatilsynet kan udstede påbud og bøder. Bøder for cookieovertrædelser i EU har varieret fra advarsler til millionbøder for store virksomheder. For SMV'er er påbud og mindre bøder mest realistisk, men det er bedst at undgå.

Skal cookiepolitikken opdateres, når vi tilføjer nye tredjeparts-tjenester?

Ja. Tilføjer du en ny tredjeparts-cookie (f.eks. en ny annonceringsplatform), skal din cookiepolitik opdateres, og dit CMP skal inkludere den nye cookie.

Hvad er forskellen på cookiepolitik og privatlivspolitik?

Cookiepolitikken fokuserer specifikt på brug af cookies. Privatlivspolitikken dækker al behandling af personoplysninger på din hjemmeside og i din virksomhed, inkl. cookies. Mange virksomheder inkorporerer cookiepolitikken i privatlivspolitikken.

Tjekliste: Er din hjemmeside cookie-compliant?

• [ ] Cookiebanner vises til nye besøgende
• [ ] "Afvis alle" er ligeså tilgængeligt som "Accepter alle"
• [ ] Separate kategorier med individuelle til/fra-muligheder
• [ ] Ingen pre-tikkede bokse for ikke-nødvendige cookies
• [ ] Cookiepolitik er offentliggjort og opdateret
• [ ] Dokumentation for samtykke gemmes i CMP
• [ ] Alle tredjeparts-cookies er identificeret og listet
• [ ] Links til tredjeparters privatlivspolitikker

Konklusion

Cookie-compliance er et område, der kræver løbende opmærksomhed. Reglerne er klare, men teknisk implementering tager tid. Start med at auditere din hjemmeside for alle aktive cookies, indfør et compliant CMP med korrekte kategorier og samtykke-flows, og sørg for en opdateret cookiepolitik.

Opret cookiepolitik med LegalDock →

---

Indholdet i denne artikel er vejledende og udgør ikke juridisk rådgivning. Kontakt en GDPR-specialist eller advokat for rådgivning om din specifikke hjemmesides cookie-compliance.