Cookiepolitik: Guide til cookies og GDPR på din hjemmeside i Danmark
Komplet guide til cookiepolitik og cookie-samtykke for danske hjemmesider. GDPR-krav til cookies, cookiebanner, og hvornår du skal have en cookiepolitik. Inkl. skabelon.
# Cookiepolitik: Guide til cookies og GDPR på din hjemmeside i Danmark
Har du en hjemmeside i Danmark — enten som privat person, SMV eller større virksomhed — er du højst sandsynligt forpligtet til at have en cookiepolitik og indhente brugerens samtykke, inden du placerer visse typer cookies. Reglerne er fastsat i GDPR og cookiebekendtgørelsen, og Datatilsynet fører aktivt tilsyn.
Denne guide forklarer, hvad cookies er, hvornår du skal have en cookiepolitik, hvad den skal indeholde, og hvad du risikerer ved at gøre det forkert.
Hvad er cookies?
Cookies er små tekstfiler, som en hjemmeside gemmer i brugerens browser. De bruges til en lang række formål:
- Sessionscookies: Holder brugeren logget ind på en hjemmeside
- Præferencecookies: Husker brugerens sprogvalg, valutaindstilling mv.
- Statistikcookies: Tracker brugeradfærd til Google Analytics, Matomo o.l.
- Markedsføringscookies: Muliggør målrettet annoncering via Facebook Pixel, Google Ads, LinkedIn Insight Tag mv.
Teknologien bag "cookies" er bredt og dækker også pixels, lokal storage, fingerprinting og andre trackingmetoder.
Den juridiske ramme: GDPR og cookiebekendtgørelsen
I Danmark reguleres cookies primært af to regelsæt:
GDPR (Databeskyttelsesforordningen)
GDPR gælder for alle behandlinger af personoplysninger, herunder cookiebaseret tracking, der kan henføres til en identificerbar person. Grundprincipperne er:
- Samtykke skal være frivilligt, specifikt, informeret og utvetydigt
- Brugeren skal kunne trække samtykket tilbage lige så nemt som det gives
- Du skal kunne dokumentere samtykket
Cookiebekendtgørelsen
Cookiebekendtgørelsen (bekendtgørelse nr. 1148 af 9. december 2011) implementerer e-Privacy-direktivet i dansk ret. Den fastslår:
- Du må ikke gemme cookies på en brugers enhed medmindre brugeren er informeret og har givet samtykke
- Undtaget er nødvendige cookies (se nedenfor) og cookies, som alene bruges til kommunikation
Hvilke cookies kræver samtykke?
Nødvendige cookies — undtaget fra samtykkekravet
Nødvendige cookies er cookies, der er strengt nødvendige for at hjemmesiden kan fungere. Disse kræver IKKE samtykke:
- Sessionscookies der holder brugeren logget ind
- Indkøbskurv-cookies i en webshop
- Cookies der husker brugerens GDPR-samtykkevalg
- Sikkerhedscookies (CSRF-beskyttelse mv.)
Statistikcookies — kræver samtykke
Cookies der indsamler data om brugeradfærd (fx Google Analytics, Hotjar, Matomo med fuld IP-adresse) kræver samtykke, da de behandler personoplysninger.
Undtagelse: Hvis du bruger en cookieless analytics-løsning som Matomo med anonymiserede IP-adresser og ingen cross-site tracking, anses det af mange tilsynsmyndigheder som muligvis undtaget — men du bør søge konkret rådgivning.
Markedsføringscookies — kræver samtykke
Markedsføringscookies kræver altid samtykke:
- Facebook Pixel og Meta CAPI
- Google Ads konverteringssporing
- LinkedIn Insight Tag
- TikTok Pixel
- Retargeting- og audience-cookies
Hvad skal din cookiepolitik indeholde?
En lovmedholdelig cookiepolitik skal ifølge GDPR og Datatilsynets vejledning indeholde:
1. Hvem er dataansvarlig?
Angiv din virksomheds fulde navn, CVR-nummer, adresse og kontaktoplysninger (inkl. e-mailadresse til databeskyttelseshenvendelser).
2. Hvad er cookies?
En kort, letforståelig forklaring af, hvad cookies er, og hvad de bruges til på din hjemmeside.
3. Kategorier af cookies
Oplist de konkrete cookies din hjemmeside bruger, inddelt i kategorier:
| Kategori | Navn | Formål | Varighed | Leverandør |
|---|---|---|---|---|
| Nødvendig | PHPSESSID | Session management | Session | Egen |
| Statistik | _ga | Google Analytics | 2 år | |
| Marketing | _fbp | Facebook Pixel | 3 måneder | Meta |
Dette krav om konkret cookie-liste er en af de dele, danske hjemmesider oftest glemmer.
4. Retsgrundlag for behandlingen
Angiv det juridiske grundlag for hver cookiekategori:
- Nødvendige cookies: Legitim interesse (GDPR art. 6(1)(f)) eller opfyldelse af kontrakt
- Alle andre cookies: Samtykke (GDPR art. 6(1)(a))
5. Overførsler til tredjelande
Bruger du cookies fra leverandører med servere uden for EU (Google, Meta, LinkedIn mv.)? Angiv da:
- Hvilke lande data overføres til
- Det juridiske grundlag for overførslen (fx EU-US Data Privacy Framework)
6. Brugerens rettigheder
Brugeren har ret til at:
- Trække samtykket tilbage: Lige så nemt som det gives (via dit cookiebanner)
- Indsigt: Se hvilke oplysninger du behandler om dem
- Sletning: Kræve at personoplysninger slettet
- Klage: Indgive klage til Datatilsynet
7. Links til tredjeparters politikker
Oplys om links til cookiepolitikker hos de tredjeparter, du deler data med (Google, Meta, LinkedIn mv.).
Cookiebannerregler: Hvad skal banners indeholde?
Dit cookiebanner skal leve op til en række krav:
Krav til samtykke
- Brugeren skal aktivt give samtykke (en pre-tikket "acceptér alt"-knap er IKKE lovlig)
- Det skal være lige nemt at afvise alle cookies som at acceptere alle
- Banners der er designet til at manipulere brugeren til at acceptere (dark patterns) er ulovlige
Krav til information
- Formålet med cookierne skal fremgå klart
- Link til fuld cookiepolitik skal være tilgængeligt
Krav til dokumentation
- Du skal kunne dokumentere hvornår og hvilken version af samtykke en given bruger har givet
- Samtykke-logs skal gemmes i tilstrækkelig tid
Kravene til cookie-consent-platform
For de fleste hjemmesider er det praktisk umuligt at opfylde disse krav manuelt. Brug en certificeret consent management platform (CMP) som Cookiebot (Usercentrics), CookieYes, Didomi eller lignende. Mange af disse integrerer direkte med WordPress, Shopify, og andre CMS-platforme.
Datatilsynets tilsyn og sanktioner
Datatilsynet fører aktivt tilsyn med cookies på danske hjemmesider. Tilsynet:
- Gennemfører scanninger af hjemmesider og identificerer ulovlig cookiebrug
- Kan udstede advarsler, påbud og bøder
- Kan videresende større sager til politiet og EDPB (European Data Protection Board)
I 2022 udstedte Datatilsynet en afgørelse mod en stor dansk virksomhed for brug af Google Analytics uden lovmedholdelig samtykke. Siden da er et antal sager behandlet, og Datatilsynet har specifikt undersøgt om "afvis alle"-knapper er tilstrækkeligt fremhævede.
Bøder: Under GDPR kan bøder for databeskyttelsesovertrædelser nå op til 4 % af den globale omsætning eller 20 mio. euro — afhængig af hvad der er højest. I praksis udstedes der for cookie-overtrædelser typisk bøder i størrelsesordenen 50.000-1.000.000 DKK til erhvervsdrivende.
Særligt om Google Analytics og dansk ret
Brugen af Google Analytics har skabt særlig debat i dansk og europæisk databeskyttelsesret. Datatilsynet har tilsluttet sig vurderinger fra andre EU-landes tilsyn om, at standard Google Analytics-opsætningen er problematisk, da data overføres til USA.
Anbefalinger:
- Aktiver IP-anonymisering (nu standard i GA4)
- Angiv korrekte databehandlervilkår med Google
- Overvej EU-hostede analysealternativer (Matomo, Plausible, Fathom)
Opret din cookiepolitik
LegalDocks cookiepolitik-skabelon giver dig et klart, GDPR-konformt dokument der dækker alle de ovenstående krav. Skabelonen er let at tilpasse til din hjemmeside, dine specifikke cookies og din virksomhed.
Kombiner cookiepolitikken med en privatlivspolitik og et godkendt cookiebanner for fuld compliance.
> LegalDock tip: En cookiepolitik er ikke nok alene. Du skal også have et cookiebanner der faktisk indhenter samtykke inden markedsføringscookies sættes. Cookiepolitikken er dokumentationen — bannerets design er det, Datatilsynet kigger på.
Få mere juridisk viden
Tilmeld dig vores nyhedsbrev og bliv klogere på dansk jura.