Skip to main content

Sådan skriver du en cookiepolitik: Trin-for-trin-guide

En cookiepolitik er kun så god som dens nøjagtighed og klarhed. Denne guide leder dig gennem processen med at udarbejde en cookiepolitik, der lever op til lovkravene, tjener dine brugere og forbliver præcis over tid. Følg disse ni trin for at skabe en politik, der er dækkende, gennemsigtig og let at vedligeholde.

Trin 1: Kortlæg dine cookies

Før du kan skrive om dine cookies, skal du vide præcis, hvilke cookies dit website sætter. Det er fundamentet for hele din politik – og det trin, som de fleste organisationer får galt fat i.

En grundig cookie-kortlægning omfatter:

  1. Scanning af hver enkelt side. Cookies kan variere fra side til side. Din forside sætter måske andre cookies end din kassekurv, din blog eller dine kontosider. En fuldstændig kortlægning skal dække alle sidetyper.
  2. Registrering af førsteparts- og tredjepartscookies. Førstepartscookies sættes af dit eget domæne. Tredjepartscookies sættes af eksterne tjenester – analyseplatforme, annoncenetværk, sociale medie-widgets, indlejrede videoer, chat-widgets, betalingsformidlere og meget mere.
  3. Identifikation af anden lagring end cookies. Moderne websites bruger også localStorage, sessionStorage, IndexedDB og pixeltags. En dækkende politik omfatter alle klientside-lagringsmekanismer, ikke kun HTTP-cookies.
  4. Test med og uden samtykke. Nogle cookies sættes uanset samtykke (strengt nødvendige cookies). Andre bør først dukke op, når der er givet samtykke. Din kortlægning bør bekræfte, at ikke-nødvendige cookies reelt er blokeret, indtil samtykke er givet.

Manuelle kortlægninger er upålidelige. At åbne browserens udviklerværktøjer manuelt på en håndfuld sider vil overse cookies, der sættes af tredjepartsscripts, som indlæses asynkront, cookies der kun sættes ved bestemte brugerhandlinger, og cookies der først dukker op ved senere besøg. Brug automatiserede scanningsværktøjer for at få det fulde billede.

Passiros automatiske cookie-scanner gennemgår hele dit website, identificerer hver eneste cookie og lagringsmekanisme og leverer en kategoriseret rapport – det ideelle udgangspunkt for din politik.

Trin 2: Kategorisér hver cookie

Når du har en komplet liste over cookies, skal du organisere dem i standardkategorier. Den mest udbredte kategorisering, som anvendes af IAB Transparency and Consent Framework og anbefales af de fleste databeskyttelsesmyndigheder, er:

Strengt nødvendige

Cookies, uden hvilke websitet ikke kan fungere. Eksempler: sessionscookies til login-status, cookies til indkøbskurv, CSRF-beskyttelsestokens, load balancer-cookies, cookies til cookie-samtykkepræferencer. Disse er undtaget fra samtykkekravet i henhold til ePrivacy Directive artikel 5, stk. 3, men du skal stadig oplyse om dem i din politik.

Præferencer / funktionelle

Cookies, der muliggør forbedret funktionalitet og personalisering. Eksempler: sprogvalg, region-/valutapræference, indstillinger for skriftstørrelse, senest viste varer. Disse er ikke strengt nødvendige – siden ville fungere uden dem – men de forbedrer brugeroplevelsen. De kræver samtykke.

Analyse / statistik

Cookies, der bruges til at indsamle data om, hvordan besøgende interagerer med websitet. Eksempler: Google Analytics-cookies (_ga, _gid), Hotjar-sessionscookies, Plausible Analytics. Disse kræver samtykke i de fleste EU-lande, selvom nogle databeskyttelsesmyndigheder (navnlig den franske CNIL) har indført begrænsede undtagelser for målingsværktøjer, der opfylder strenge betingelser.

Marketing / annoncering

Cookies, der bruges til målrettet annoncering, retargeting og måling af annoncepræstationer. Eksempler: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies fra annoncenetværk. Disse kræver altid samtykke og er den kategori, der granskes mest.

Tildel en kategori til hver cookie, og kontrollér, at kategoriseringen er korrekt. En almindelig fejl er at kategorisere analyse- eller marketingcookies som "funktionelle" for at undgå samtykkekravet – det er ikke i overensstemmelse med reglerne og let for tilsynsmyndighederne at opdage.

Trin 3: Skriv indledningen

Din cookiepolitik bør indledes med en kort introduktion, der dækker:

  • Hvem du er. Den juridiske enhed, der driver websitet (firmanavn, registreret adresse).
  • Hvad dette dokument dækker. "Denne cookiepolitik forklarer, hvordan [firmanavn] bruger cookies og lignende teknologier på [website-URL]."
  • Hvornår den senest blev opdateret. Angiv en tydelig dato.
  • Hvordan man kontakter dig. Angiv en kontakt-e-mail og eventuelt oplysninger om din databeskyttelsesrådgiver.

Hold introduktionen på to eller tre sætninger. Brugerne er her for at få konkrete oplysninger, ikke en corporate-indledning.

Trin 4: Forklar, hvad cookies er

Medtag en kort, ikke-teknisk forklaring på, hvad cookies er. Mange af dine besøgende ved det ikke. En god forklaring lyder:

Cookies er små tekstfiler, der gemmes på din enhed (computer, tablet eller telefon), når du besøger et website. De bruges i vid udstrækning til at få websites til at fungere, til at forbedre effektiviteten og til at give oplysninger til ejerne af websitet. Cookies, der sættes af det website, du besøger, kaldes "førstepartscookies". Cookies, der sættes af andre virksomheder (for eksempel analyse- eller annoncetjenester), kaldes "tredjepartscookies".

Hvis dit site bruger teknologier ud over HTTP-cookies – såsom localStorage, pixeltags eller fingerprinting – så nævn også disse. "I denne politik bruger vi udtrykket 'cookies' som betegnelse for cookies og lignende teknologier, medmindre andet er angivet."

Trin 5: List cookies op i tabelform

Præsentér dine cookies i en struktureret tabel, organiseret efter kategori. For hver cookie skal du angive:

Felt Beskrivelse Eksempel
Navn Cookiens tekniske navn _ga
Udbyder Hvem der sætter denne cookie Google Analytics (google.com)
Formål Hvad cookien gør, i et forståeligt sprog Genererer et unikt id til at registrere statistiske data om, hvordan du bruger websitet
Type Førsteparts- eller tredjeparts-; HTTP-cookie, localStorage osv. Tredjeparts HTTP-cookie
Varighed Hvor længe cookien består 2 år

Her er et eksempel på en velstruktureret cookietabel for analysekategorien:

Cookie-navn Udbyder Formål Type Varighed
_ga Google Analytics Tildeler et unikt id for at skelne mellem besøgende og udarbejde statistiske rapporter Tredjeparts 2 år
_gid Google Analytics Tildeler et unikt id for hver browsersession for at udarbejde statistiske rapporter Tredjeparts 24 timer
_gat_UA-* Google Analytics Begrænser hastigheden af dataindsamling på sites med meget trafik Tredjeparts 1 minut

Gentag denne tabel for hver kategori: Strengt nødvendige, Præferencer, Analyse og Marketing.

Trin 6: Beskriv hver kategori

Før hver cookietabel bør du give en kort beskrivelse af kategorien:

  • Hvad cookies i denne kategori gør – i generelle vendinger.
  • Om der kræves samtykke – strengt nødvendige cookies kræver ikke samtykke; alle andre gør.
  • Hvad der sker, hvis brugeren afslår – "Hvis du afviser analysecookies, indsamler vi ikke data om dine besøg. Websitet fungerer helt normalt."

Denne kontekstuelle information hjælper brugerne med at træffe informerede valg og opfylder GDPR's krav om gennemsigtighed.

Trin 7: Forklar, hvordan brugerne kan styre cookies

Dette afsnit skal dække to kontrolmekanismer:

Via dit samtykkebanner

Forklar, at brugerne til enhver tid kan administrere deres cookiepræferencer ved at klikke på dit link eller ikon til cookieindstillinger. Beskriv, hvor det findes (f.eks. "Klik på cookie-ikonet i nederste venstre hjørne på enhver side" eller "Klik på 'Cookieindstillinger' i sidefoden"). Vær konkret – nøjes ikke med at skrive "via vores cookiebanner".

Via browserindstillinger

Angiv links til vejledninger til cookie-administration for de vigtigste browsere:

Bemærk konsekvensen: "Vær opmærksom på, at deaktivering af cookies via dine browserindstillinger kan påvirke funktionaliteten af dette og andre websites, du besøger."

Trin 8: Tilføj kontaktoplysninger og oplysninger om databeskyttelsesrådgiver

Angiv tydelige kontaktoplysninger til privatlivsrelaterede henvendelser:

  • Den dataansvarliges identitet: Firmanavn, registreret adresse, CVR-nummer.
  • Kontakt-e-mail vedrørende privatliv: En overvåget e-mailadresse (f.eks. [email protected]).
  • Databeskyttelsesrådgiver: Hvis du har udpeget en DPO (obligatorisk for visse organisationer i henhold til GDPR artikel 37), skal du angive navn og kontaktoplysninger.
  • Tilsynsmyndighed: Identificér den relevante databeskyttelsesmyndighed, og angiv et link til deres klagemekanisme. For eksempel: "Du har ret til at indgive en klage til [navn på tilsynsmyndighed] på [URL]."

Trin 9: Datér politikken og planlæg opdateringer

Medtag en tydelig "Senest opdateret"-dato. Forpligt dig til at gennemgå og opdatere politikken med jævne mellemrum og hver gang, din brug af cookies ændrer sig.

Overvej at tilføje en formulering som: "Vi gennemgår denne cookiepolitik regelmæssigt og opdaterer den, når det er nødvendigt. Væsentlige ændringer vil blive meddelt via en meddelelse på vores website."

Rent praktisk bør du planlægge en gennemgang mindst en gang i kvartalet. Tredjepartstjenester ændrer ofte deres cookies, og selv en mindre opdatering af en integration kan introducere nye cookies, der skal deklareres.

Almindelige fejl, du bør undgå

Selv omhyggeligt skrevne cookiepolitikker indeholder ofte disse fejl:

  • Vage formålsbeskrivelser. "Denne cookie forbedrer din oplevelse" siger brugeren ingenting. Vær konkret: hvilke data indsamler cookien, og hvad bruges de til?
  • Forældede cookielister. Hvis din politik lister cookies fra et værktøj, du fjernede for seks måneder siden, eller ikke lister cookies fra et værktøj, du tilføjede i sidste uge, er den unøjagtig. Unøjagtige oplysninger underminerer gennemsigtigheden.
  • Manglende tredjepartscookies. Mange organisationer lister deres egne cookies, men glemmer at dokumentere tredjepartscookies, der sættes af indlejret indhold (YouTube-videoer, knapper til sociale medier, chat-widgets osv.). Disse er ofte de mest privatlivskrænkende cookies på sitet.
  • Kategoriseringsfejl. At klassificere marketing- eller analysecookies som "funktionelle" eller "nødvendige" for at undgå samtykkekravet. Databeskyttelsesmyndigheder holder specifikt øje med dette.
  • Ingen mekanisme til at ændre præferencer. At oplyse, at brugerne kan administrere deres præferencer, uden at tilbyde en tydeligt beskrevet og altid tilgængelig mekanisme til at gøre det.
  • Kopiering af en skabelon uden tilpasning. Generiske cookiepolitik-skabeloner, der ikke afspejler dine faktiske cookies, dine faktiske tjenester eller din faktiske databehandling. En skabelon er et udgangspunkt, ikke et færdigt dokument.
  • Utilgængeligt sprog. Juridisk jargon, teknisk terminologi og unødvendigt komplekse sætningskonstruktioner. GDPR kræver et klart og enkelt sprog. Skriv til et ikke-fagligt publikum.

Sådan holder du din politik i takt med de faktiske cookies

Det sværeste ved at vedligeholde en cookiepolitik er ikke at skrive den – det er at holde den nøjagtig. Websites er dynamiske. Marketingteams tilføjer nye værktøjer, udviklere integrerer nye tjenester, og content management-systemer installerer plugins med sporingsfunktioner. Hver ændring kan introducere cookies, som din politik ikke nævner.

Løsningen er automatiseret, løbende overvågning. I stedet for at forlade dig på manuelle kortlægninger (som er sjældne, ufuldstændige og fejlbehæftede) bør du bruge et scanningsværktøj, der regelmæssigt gennemgår dit website, identificerer alle aktive cookies og sammenligner dem med din deklarerede cookieliste.

Passiro scanner dit website automatisk, opdager udeklarerede cookies og advarer dig, når din politik skal opdateres. Det sikrer, at din cookiepolitik altid afspejler virkeligheden – ikke et øjebliksbillede fra sidste gang, nogen huskede at tjekke. Læs mere om Passiros automatiserede cookie-compliance.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis