Cookiekategorier: Sådan klassificerer du cookies til samtykke
Cookiesamtykke er ikke en alt-eller-intet-beslutning. Databeskyttelsesregler kræver, at brugere kan træffe detaljerede valg om, hvilke typer cookies de accepterer. For at gøre dette muligt inddeles cookies i kategorier — grupper baseret på deres formål, hver med sine egne samtykkekrav.
At få kategoriseringen rigtig er afgørende. At fejlklassificere en marketingcookie som "strengt nødvendig" er ikke bare en teknisk fejl — det er en overtrædelse af reglerne, som tilsynsmyndigheder aktivt leder efter og sanktionerer.
Hvorfor kategorisering er vigtig
GDPR kræver, at samtykke er "specifikt" (artikel 4, stk. 11). Artikel 29-gruppen (nu EDPB) har præciseret, at dette betyder, at samtykke skal gives særskilt for hvert enkelt formål. At samle alle cookies i et enkelt "accepter alle" uden at tilbyde valg pr. kategori lever ikke op til denne standard.
I praksis betyder det, at din cookiesamtykkemekanisme skal præsentere cookies grupperet efter formål og lade brugere acceptere eller afvise hver kategori uafhængigt. Den standard, der har etableret sig på tværs af branchen — og som tilsynsmyndighederne forventer — bruger fire kategorier.
De fire standardkategorier for cookies
1. Strengt nødvendige cookies
Disse cookies er essentielle for webstedets grundlæggende funktion. Uden dem kan den tjeneste, brugeren udtrykkeligt har anmodet om, ikke leveres.
Samtykke påkrævet: Nej. Strengt nødvendige cookies er undtaget fra samtykkekravet i henhold til ePrivacy-direktivets artikel 5, stk. 3, som fastslår, at der ikke kræves samtykke til cookies, der er "strengt nødvendige for, at udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om, kan levere tjenesten."
Eksempler på strengt nødvendige cookies:
- Sessionscookies, der opretholder login-status
- Indkøbskurv-cookies på et e-handelswebsted
- CSRF-tokens (cross-site request forgery) til beskyttelse
- Load balancing-cookies, der fordeler trafik på tværs af servere
- Cookies til cookiesamtykke-præferencer (den cookie, der husker dit samtykkevalg)
- Sikkerhedscookies, der opdager misbrug af autentificering
Hvad der IKKE er strengt nødvendigt:
- Analysecookies — selv førsteparts-cookies. At måle trafik er nyttigt for webstedsoperatøren, men det er ikke nødvendigt for at levere den tjeneste, brugeren anmodede om.
- Plugins til sociale medier — delingsknapper og indlejrede feeds tjener webstedsejerens interesser, ikke en funktion, brugeren udtrykkeligt har anmodet om.
- Reklamecookies — pr. definition tjener disse et formål ud over den tjeneste, brugeren tilgår.
- A/B-test-cookies — disse tjener webstedsoperatørens optimeringsmål, ikke brugerens udtrykkelige anmodning.
Den afgørende test er perspektiv: nødvendig for hvem? Hvis cookien tjener webstedsoperatørens interesser frem for en funktion, brugeren udtrykkeligt har anmodet om, er den ikke strengt nødvendig — uanset hvor vigtig den måtte være for forretningen.
2. Analyse- / statistikcookies
Disse cookies indsamler oplysninger om, hvordan besøgende bruger webstedet: hvilke sider der besøges, hvor længe brugerne bliver, hvor de kommer fra, og hvor de forlader stedet. Data samles typisk aggregeret og bruges til at forbedre webstedet.
Samtykke påkrævet: Ja, i de fleste jurisdiktioner. Dog har visse databeskyttelsesmyndigheder (særligt franske CNIL og hollandske AP) tilkendegivet, at bestemte førsteparts-analyseværktøjer kan kvalificere sig til en begrænset undtagelse, forudsat at specifikke betingelser er opfyldt (se vores afsnit om hvornår samtykke er påkrævet).
Almindelige analysecookies:
| Cookie | Tjeneste | Formål | Standardlevetid |
|---|---|---|---|
_ga |
Google Analytics | Skelner mellem unikke brugere | 2 år |
_ga_* |
Google Analytics 4 | Opretholder sessionsstatus | 2 år |
_gid |
Google Analytics | Skelner mellem brugere (24 t) | 24 timer |
_pk_id.* |
Matomo | Besøgs-ID | 13 måneder |
_pk_ses.* |
Matomo | Sessionssporing | 30 minutter |
_hjSessionUser_* |
Hotjar | Brugeridentifikator | 1 år |
Bemærk, at Google Analytics-cookies er tredjeparts af natur, selvom de kan fremstå som førsteparts-cookies — fordi Google behandler data på sine egne servere og kan bruge dem til sine egne formål. Denne skelnen har været betydningsfuld i flere europæiske håndhævelsessager.
3. Marketing- / reklamecookies
Disse cookies sporer besøgende på tværs af websteder for at opbygge en profil af deres browseradfærd. Denne profil bruges til at levere målrettet reklame, måle effektiviteten af annoncekampagner og begrænse antallet af gange, en bruger ser en bestemt annonce.
Samtykke påkrævet: Altid. Der er ingen undtagelse for reklamecookies under nogen fortolkning af ePrivacy-direktivet eller GDPR.
Almindelige marketingcookies:
| Cookie | Tjeneste | Formål | Standardlevetid |
|---|---|---|---|
_fbp |
Meta (Facebook) | Sporer besøg til annoncemålretning | 3 måneder |
_gcl_au |
Google Ads | Konverteringssporing | 3 måneder |
IDE |
Google DoubleClick | Retargeting og annoncevisning | 13 måneder |
_uetsid |
Microsoft Advertising | Konverteringssporing | 1 dag |
li_fat_id |
Indirekte medlemsidentifikator | 30 dage |
Marketingcookies er næsten altid tredjeparts. De udgør den højeste privatlivsrisiko og er den mest strengt regulerede kategori. Enhver samtykkemekanisme, der gør det lettere at acceptere marketingcookies end at afvise dem, risikerer indgreb fra tilsynsmyndighederne.
4. Præference- / funktionalitetscookies
Disse cookies muliggør forbedret funktionalitet og personalisering, der går ud over det strengt nødvendige. De husker valg, brugeren har truffet, men er ikke nødvendige for, at kernetjenesten fungerer.
Samtykke påkrævet: Ja, selvom risikoniveauet er lavere end for analyse- eller marketingcookies. Nogle tilsynsmyndigheder behandler præferencecookies mere lempeligt, men den juridiske position er, at samtykke stadig er påkrævet.
Eksempler:
- Sprogpræference (når stedet fungerer uden den og blot bruger et andet standardsprog)
- Valg af region eller valuta
- Forudfyldning af brugernavn på login-formularer
- Videoafspiller-præferencer (lydstyrke, kvalitet)
- Chat-widget-status (åben/lukket, samtalehistorik)
- Skriftstørrelse eller tilgængelighedspræferencer
Skelnen mellem "strengt nødvendig" og "præference" kan være subtil. En sprogcookie på et enkeltsproget websted er meningsløs. En sprogcookie på et flersproget websted, der bruger et fungerende standardsprog uden den, er en præference. En sprogcookie på et websted, der slet ikke kan fungere uden den — fordi indholdet ikke indlæses uden et sprogvalg — kan man argumentere for er strengt nødvendig. Konteksten er afgørende.
Sådan kategoriserer du dine cookies korrekt
Følg denne proces for hver cookie på dit websted:
- Identificér cookien. Hvad hedder den, hvem sætter den (førsteparts eller tredjeparts), og hvor længe varer den?
- Fastlæg dens formål. Hvorfor eksisterer denne cookie? Hvad sker der, hvis den fjernes?
- Anvend testen for strengt nødvendige. Er denne cookie essentiel for en funktion, brugeren udtrykkeligt har anmodet om? Hvis brugeren bad om at logge ind, er en sessionscookie nødvendig. Hvis du vil spore deres adfærd, er det dit behov, ikke deres.
- Tildel kategorien. Hvis den ikke er strengt nødvendig, klassificér den ud fra dens primære formål: analyse, marketing eller præferencer.
- Dokumentér din begrundelse. For hver cookie skal du registrere, hvorfor du kategoriserede den, som du gjorde. Denne dokumentation er værdifuld, hvis en tilsynsmyndighed nogensinde spørger.
Almindelige kategoriseringsfejl
Baseret på tilsynsmyndighedernes håndhævelsessager og revisionsfund er dette de mest almindelige fejl:
- At klassificere Google Analytics som strengt nødvendig. Dette er den mest almindelige fejl overhovedet. GA er et analyseværktøj. Det er aldrig strengt nødvendigt for at levere en tjeneste til brugeren. Flere databeskyttelsesmyndigheder har specifikt påpeget dette.
- At placere alle tredjeparts-cookies under "funktionalitet". Indlejrede YouTube-videoer, sociale delingsknapper og chat-widgets er ikke strengt nødvendige, og deres cookies tjener typisk analyse- eller marketingformål ud over den synlige funktionalitet.
- At ignorere cookies sat af plugins og integrationer. Et WordPress-websted med 20 plugins kan sætte snesevis af cookies, som webstedsoperatøren end ikke er klar over. Du er stadig ansvarlig for dem alle.
- At behandle marketingcookies som analyse. Facebook Pixel og Google Ads-konverteringssporing er marketingcookies, ikke analyse — deres primære formål er reklame, selv hvis du bruger data analytisk.
- At fejlkategorisere A/B-test-cookies. Værktøjer som Optimizely og VWO sætter cookies for at tildele brugere til testgrupper. Disse er ikke strengt nødvendige og bør kategoriseres som analyse eller præferencer.
Automatisér processen
Manuelle cookie-revisioner er tidskrævende og fejlbehæftede. Websteder ændrer sig konstant — et nyt plugin, et opdateret script, et marketingteam, der tilføjer en sporingspixel — og hver ændring kan introducere nye cookies, der skal kategoriseres.
Passiro scanner og kategoriserer automatisk alle cookies på dit websted, opdager nye cookies, når de dukker op, og markerer potentielle fejlkategoriseringer. Dette sikrer, at din cookiesamtykkemekanisme altid afspejler de faktiske cookies, dit websted bruger — ikke kun dem, du kendte til, sidst du tjekkede.
Nu hvor vi forstår kategorierne, lad os se på, hvad cookiesamtykke faktisk betyder juridisk — kravene er mere specifikke, end de fleste er klar over.
Overholder din website cookiereglerne?
Scan din website gratis og find alle cookies på få minutter.
Scan dine cookies gratis