Skip to main content

Ressourcer og ordliste om cookie-compliance

Cookie-compliance involverer et specialiseret ordforråd hentet fra EU-regulering, databeskyttelsesret og webteknologi. Denne ordliste definerer de vigtigste begreber, du vil støde på, efterfulgt af en udvalgt samling af officielle ressourcer og autoritative referencer til videre studie.

Ordliste over centrale begreber

A–C

CMP (Consent Management Platform): Et softwareværktøj eller en tjeneste, der håndterer indsamling, opbevaring og håndhævelse af brugersamtykke til cookies og andre sporingsteknologier. En CMP leverer typisk cookiebannerets brugerflade, gemmer samtykkeoptegnelser og styrer, hvilke scripts der må køre baseret på brugerens valg. Eksempler omfatter Cookiebot, OneTrust, Usercentrics og open source-løsninger som Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): Den franske databeskyttelsesmyndighed. CNIL har været den mest aktive europæiske tilsynsmyndighed inden for cookie-håndhævelse, har udstedt de største cookie-relaterede bøder og har udgivet de mest detaljerede retningslinjer for cookie-compliance. Dens fortolkninger og håndhævelsestiltag danner ofte den standard, som andre databeskyttelsesmyndigheder følger.

Samtykke: I GDPR-sammenhæng en frivilligt afgivet, specifik, informeret og utvetydig viljestilkendegivelse fra en registreret person, tilkendegivet ved en klar bekræftende handling. For cookies betyder det, at brugeren aktivt skal vælge at tillade ikke-nødvendige cookies gennem en bevidst handling, såsom at klikke på en "Accepter"-knap. Tavshed, forudafkrydsede felter, passivitet og fortsat browsing udgør ikke gyldigt samtykke.

Cookie: En lille tekstfil, der placeres på en brugers enhed af et websted. Cookies bruges til en lang række formål, fra vedligeholdelse af login-sessioner (strengt nødvendige) til sporing af browsingadfærd på tværs af nettet (annoncering). Teknisk set er en cookie et navn-værdi-par med tilhørende metadata, herunder domæne, sti, udløb og sikkerhedsflag.

Cookiebanner: Det element i brugerfladen (typisk en bjælke, modal eller popup), der vises, når en bruger besøger et websted første gang, og som informerer om webstedets brug af cookies og anmoder om deres samtykke. Et compliant cookiebanner giver klar information, tilbyder reelle valg (accepter, afvis, tilpas) og sætter ikke ikke-nødvendige cookies, før brugeren har svaret.

Cookiepolitik: Et dokument (typisk en dedikeret webside eller et afsnit i privatlivspolitikken), der giver detaljerede oplysninger om alle cookies, der bruges på et websted, herunder deres navne, formål, typer, varigheder og de tredjepartsudbydere, der sætter dem. Cookiepolitikken opfylder GDPR's gennemsigtighedsforpligtelser og ePrivacy-direktivets krav om "klar og fyldestgørende information".

Cookievæg: En mekanisme, der blokerer adgang til webstedsindhold, medmindre brugeren samtykker til alle cookies. Cookievægge er kontroversielle, og deres lovlighed varierer fra jurisdiktion til jurisdiktion. EDPB har udtalt, at cookievægge underminerer kravet om "frivilligt afgivet" gyldigt samtykke, da brugeren står over for et tag-det-eller-lad-det-være-valg. Nogle nationale databeskyttelsesmyndigheder (særligt det franske Conseil d'Etat) har tilladt cookievægge under begrænsede betingelser, hvor brugeren har et reelt alternativt middel til at få adgang til indholdet.

D–E

Dark pattern: Et designvalg i brugerfladen, der manipulerer brugere til at træffe beslutninger, de ellers ikke ville have truffet. I cookie-sammenhæng omfatter dark patterns: at gøre "Accepter"-knappen visuelt dominerende, mens "Afvis"-muligheden skjules, at bruge forvirrende sprog, at kræve flere klik for at afvise end for at acceptere og at anvende skammetaktik. EDPB udgav specifikke retningslinjer om dark patterns i databeskyttelsesgrænseflader i februar 2023.

Dataansvarlig: Den enhed, der bestemmer formålene med og midlerne til behandling af personoplysninger. For cookies, der sættes af et websted, er webstedsoperatøren typisk den dataansvarlige. For tredjepartscookies kan der være fælles dataansvar mellem webstedsoperatøren og tredjeparten, afhængigt af i hvilken grad hver part påvirker formålene med og midlerne til dataindsamlingen.

Databehandler: En enhed, der behandler personoplysninger på vegne af en dataansvarlig efter den dataansvarliges instruktioner. En hostingudbyder eller en CMP-leverandør, der udelukkende handler efter webstedsoperatørens instruktioner, vil være en databehandler. Skelnen er vigtig, fordi dataansvarlige bærer det primære ansvar for compliance, mens databehandlere skal overholde den dataansvarliges instruktioner og betingelserne i en databehandleraftale.

Registreret: En fysisk person, hvis personoplysninger behandles. I cookie-sammenhæng er de registrerede de webstedsbesøgende, hvis data indsamles gennem cookies. Registrerede har rettigheder i henhold til GDPR, herunder ret til indsigt, berigtigelse, sletning, begrænsning af behandling, dataportabilitet og ret til indsigelse.

Databeskyttelsesmyndighed (DPA): Den uafhængige offentlige myndighed, der er ansvarlig for at overvåge og håndhæve databeskyttelsesretten i hver EU-medlemsstat. Databeskyttelsesmyndigheder har beføjelse til at undersøge klager, gennemføre revisioner, udstede vejledning og pålægge bøder. Hver medlemsstat har mindst én databeskyttelsesmyndighed (Tyskland har flere, én pr. delstat plus den føderale BfDI). Eksempler: CNIL (Frankrig), Garante (Italien), ICO (Storbritannien), Datatilsynet (Danmark/Norge).

DPO (databeskyttelsesrådgiver): En person, der udpeges af en dataansvarlig eller databehandler til at føre tilsyn med GDPR-compliance. GDPR kræver, at visse organisationer udpeger en DPO, herunder offentlige myndigheder og organisationer, hvis kerneaktiviteter involverer omfattende overvågning af registrerede. Selvom det ikke er direkte relateret til cookies, fører DPO'en typisk tilsyn med organisationens program for cookie-compliance.

EDPB (Det Europæiske Databeskyttelsesråd): Det uafhængige EU-organ, der sikrer en ensartet anvendelse af GDPR og fremmer samarbejdet mellem nationale databeskyttelsesmyndigheder. EDPB (som erstattede Artikel 29-gruppen) udsteder retningslinjer, anbefalinger og bindende afgørelser. Dets retningslinjer om samtykke (Retningslinjer 05/2020) og om dark patterns er centrale referencer for cookie-compliance.

ePrivacy-direktivet (direktiv 2002/58/EF): EU-direktivet, der regulerer privatliv i elektronisk kommunikation, herunder brugen af cookies. Artikel 5, stk. 3, er det primære retsgrundlag for kravet om cookie-samtykke. Som direktiv skal det gennemføres i national ret af hver medlemsstat, hvilket fører til variationer i implementeringen. Det skal erstattes af ePrivacy-forordningen, som fortsat er under forhandling.

F–G

Førstepartscookie: En cookie, der sættes af det domæne, brugeren besøger. Hvis en bruger for eksempel besøger example.com, og example.com sætter en cookie, er det en førstepartscookie. Førstepartscookies bruges typisk til væsentlige funktioner (sessioner, præferencer) og førsteparts-analyse. De betragtes generelt som mindre indgribende end tredjepartscookies, fordi de ikke kan spore brugere på tværs af forskellige websteder.

GDPR (databeskyttelsesforordningen): Forordning (EU) 2016/679, EU's omfattende databeskyttelseslov, der har været gældende siden den 25. maj 2018. GDPR fastsætter de retlige rammer for, hvad der udgør gyldigt samtykke (anvendt på cookies via ePrivacy-direktivets henvisning), de registreredes rettigheder, forpligtelserne for dataansvarlige og databehandlere samt håndhævelsesordningen, herunder bøder på op til 4 % af den globale årlige omsætning eller 20 millioner euro.

GPC (Global Privacy Control): Et signal på browserniveau, der kommunikerer en brugers ønske om at fravælge salg eller deling af deres personoplysninger. I modsætning til det ældre Do Not Track (DNT)-signal har GPC juridisk opbakning under CCPA/CPRA og flere andre amerikanske delstatslige privatlivslove. Når en bruger aktiverer GPC i sin browser, skal websteder, der er underlagt disse love, behandle det som en gyldig fravalgsanmodning. GPC anerkendes i stigende grad også i Europa, selvom det endnu ikke er lovpligtigt under EU-retten.

Google Consent Mode: En funktion i Googles tag-infrastruktur, der justerer adfærden af Google-tags (Analytics, Ads osv.) baseret på den samtykkestatus, der kommunikeres af webstedets CMP. Consent Mode v2, som har været påkrævet til annoncepersonalisering i EØS siden marts 2024, introducerer parametrene ad_user_data og ad_personalization ved siden af de eksisterende ad_storage og analytics_storage. Når samtykke nægtes, justerer Google-tags deres adfærd for at undgå at sætte cookies, selvom de stadig kan sende begrænsede, cookieløse pings afhængigt af konfigurationen.

I–L

IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): En branchudviklet ramme til håndtering af samtykke i det digitale annonceøkosystem. TCF giver en standardiseret måde for CMP'er, annoncører og udgivere at kommunikere samtykkesignaler på tværs af adtech-forsyningskæden. Version 2.2 er den nuværende standard. TCF har mødt juridiske udfordringer, særligt den belgiske databeskyttelsesmyndigheds afgørelse fra 2022 om, at IAB Europes behandling af TC-strengen udgjorde behandling af personoplysninger. Rammen er fortsat udbredt, men dens juridiske status udvikler sig løbende.

Legitim interesse: Et af de seks lovlige grundlag for behandling af personoplysninger i henhold til GDPR artikel 6, stk. 1, litra f). Legitim interesse kræver en afvejningstest mellem den dataansvarliges interesser og den registreredes rettigheder og frihedsrettigheder. For cookies er brugen af legitim interesse som lovligt grundlag stærkt omstridt. Den fremherskende europæiske reguleringsopfattelse er, at samtykke (ikke legitim interesse) er det passende grundlag for ikke-nødvendige cookies, fordi ePrivacy-direktivet specifikt kræver samtykke til lagring på brugerens enhed.

O–P

Opt-in: En samtykkemodel, hvor behandling af personoplysninger (eller sætning af cookies) ikke finder sted, medmindre brugeren foretager en bekræftende handling for at tillade det. EU's cookiemodel er opt-in: ingen ikke-nødvendige cookies, før brugeren samtykker. Opt-in giver stærkere beskyttelse af privatlivet, men kræver en samtykkemekanisme, før nogen sporing begynder.

Opt-out: En samtykkemodel, hvor behandling af personoplysninger (eller sætning af cookies) sker som standard, og brugeren skal foretage sig noget for at stoppe det. Den amerikanske cookiemodel (under CCPA og lignende delstatslove) er generelt opt-out: sporing sker, medmindre brugeren gør indsigelse. Opt-out lægger handlingsbyrden på brugeren frem for webstedsoperatøren.

Vedvarende cookie: En cookie, der forbliver på brugerens enhed i en defineret periode, efter at browseren er lukket. Vedvarende cookies bruges til at huske præferencer, vedligeholde login-sessioner på tværs af besøg og spore adfærd over tid. De har en fastsat udløbsdato og forbliver, indtil denne dato passeres, eller brugeren sletter dem. Varigheden af vedvarende cookies bør stå i forhold til deres formål.

Personoplysninger: I henhold til GDPR enhver information, der vedrører en identificeret eller identificerbar fysisk person. Dette omfatter åbenlyse identifikatorer (navn, e-mail) og mindre åbenlyse (IP-adresser, cookie-identifikatorer, enheds-fingeraftryk). Betragtning 30 i GDPR fastslår udtrykkeligt, at onlineidentifikatorer såsom cookie-identifikatorer kan udgøre personoplysninger. I praksis kvalificerer næsten alle cookies, der entydigt identificerer en browser eller bruger, sig som personoplysninger.

Forudgående samtykke: Samtykke indhentet, før den handling, det tillader, finder sted. For cookies betyder forudgående samtykke at indhente brugerens accept, før nogen ikke-nødvendige cookies sættes på deres enhed. Dette er et grundlæggende krav i artikel 5, stk. 3, i ePrivacy-direktivet. At sætte cookies først og bede om samtykke bagefter, eller at slette cookies med tilbagevirkende kraft, hvis samtykke nægtes, opfylder ikke kravet om forudgående samtykke.

S–T

Sessionscookie: En cookie, der kun eksisterer i den periode, brugerens browser-session varer, og som slettes, når browseren lukkes. Sessionscookies bruges ofte til at vedligeholde login-status, indkøbskurvens indhold og andre kortvarige data. Mange sessionscookies kvalificerer sig som strengt nødvendige og er derfor undtaget fra samtykkekravet, selvom dette afhænger af deres specifikke formål.

Strengt nødvendig cookie: En cookie, der er væsentlig for, at webstedet kan fungere og levere en tjeneste, som brugeren udtrykkeligt har anmodet om. Strengt nødvendige cookies er undtaget fra samtykkekravet i henhold til artikel 5, stk. 3, i ePrivacy-direktivet. Eksempler omfatter autentificeringscookies, sikkerhedscookies (CSRF-tokens), load-balancing-cookies og cookies til brugerflade-præferencer, der er væsentlige for tjenesten. Analysecookies, annonceringscookies og cookies fra sociale medier er ikke strengt nødvendige, uanset hvor nyttige webstedsoperatøren anser dem for at være.

Tredjepartscookie: En cookie, der sættes af et andet domæne end det, brugeren besøger. Hvis en bruger for eksempel besøger example.com, og der sættes en cookie af facebook.com (via en Facebook Pixel indlejret på example.com), er Facebook-cookien en tredjepartscookie. Tredjepartscookies bruges primært til sporing på tværs af websteder og målrettet annoncering. Store browsere begrænser eller fjerner tredjepartscookies: Safari og Firefox blokerer dem allerede som standard, og Chrome har annonceret planer om at udfase dem (selvom tidsplanen er blevet ændret flere gange).

Sporingspixel: Et lille, usynligt billede (typisk 1x1 pixel), der indlejres i en webside eller e-mail, og som rapporterer tilbage til en server, når det indlæses. Selvom det teknisk set ikke er en cookie, er sporingspixler en beslægtet sporingsteknologi, der ofte arbejder sammen med cookies for at spore brugeradfærd. De er underlagt de samme samtykkekrav som cookies i henhold til ePrivacy-direktivet, fordi de indebærer adgang til information på brugerens enhed (HTTP-anmodningen overfører brugerens IP-adresse, browseroplysninger og eventuelle tilknyttede cookies).

Officielle ressourcer

EU-lovgivning og vejledning

Nationale databeskyttelsesmyndigheders cookievejledning

Google Consent Mode

IAB Transparency and Consent Framework

Amerikanske privatlivslove

EU-Domstolens retspraksis

Yderligere læsning

Værktøjer til cookie-compliance

At opretholde cookie-compliance kræver de rette værktøjer. Passiro leverer automatiseret cookie-scanning, der gennemgår hele dit websted ved hjælp af en rigtig browsermotor, identificerer alle cookies og sporingsteknologier, kategoriserer dem ved hjælp af en løbende opdateret database og overvåger for ændringer med planlagte scanninger og advarsler. Kombineret med Passiros samtykkehåndteringsplatform giver dette dig et komplet og altid aktuelt overblik over dit websteds status inden for cookie-compliance.

Læs mere om Passiros scanningsfunktioner eller kør en gratis scanning af dit websted for at se, hvilke cookies dit websted sætter i dag.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis