Skip to main content

Tjekliste for cookie-compliance: 25 punkter til fuld efterlevelse

Cookie-compliance omfatter teknisk implementering, juridisk dokumentation og løbende driftsprocesser. Hvis blot ét enkelt element mangler, kan det medføre manglende efterlevelse, selv om alt andet er i orden. Denne strukturerede tjekliste med 25 punkter dækker alle aspekter af cookie-compliance under GDPR, ePrivacy-direktivet og de vigtigste internationale databeskyttelseslove. Brug den både som implementeringsvejledning og som et løbende revisionsværktøj.

Cookie-oversigt

Du kan ikke styre det, du ikke har målt. En komplet og præcis cookie-oversigt er fundamentet for alle andre compliance-aktiviteter.

  1. Alle cookies er identificeret og dokumenteret

    Hver eneste cookie, dit websted sætter, skal identificeres, herunder cookies sat af tredjepartsscripts, indlejret indhold og dynamisk indlæste ressourcer. Brug automatiseret scanning for at sikre fuld dækning på tværs af alle sider, ikke kun forsiden. Din oversigt bør omfatte HTTP-cookies, localStorage-poster, sessionStorage-poster og enhver anden client-side-lagringsmekanisme, der bruges til sporing.

  2. Hver cookie er kategoriseret korrekt

    Hver cookie skal tildeles den korrekte compliance-kategori: strengt nødvendig, funktionel, analyse/ydeevne eller markedsføring/annoncering. Kategoriseringen skal være ærlig — en cookie, der sporer brugere til annonceringsformål, kan ikke kategoriseres som "funktionel", blot fordi den også giver en vis funktionel fordel. I tvivlstilfælde skal du anvende den strengeste kategori. Datatilsyn ser nøje på kategorisering, og fejlkategorisering er et af de mest almindelige fund i håndhævelsessager.

  3. Tredjepartscookies er identificeret med udbydere

    For hver tredjepartscookie på dit websted skal du dokumentere, hvilken tjeneste der sætter den, hvorfor den findes på dit websted, og hvilke data den indsamler eller deler. Almindelige kilder til tredjepartscookies omfatter analyseplatforme (Google Analytics, Adobe Analytics), annoncenetværk (Google Ads, Meta Pixel, LinkedIn Insight Tag), sociale medie-widgets, videoindlejringer (YouTube, Vimeo), chatværktøjer (Intercom, Drift) og A/B-testplatforme (Optimizely, VWO). Hver tredjepartsudbyder bør have en databehandleraftale på plads.

  4. Cookie-varigheder er dokumenteret

    Registrer udløbsperioden for hver cookie. Sessionscookies udløber, når browseren lukkes. Vedvarende cookies har en defineret levetid, der skal dokumenteres (f.eks. 30 dage, 1 år, 2 år). Under GDPR's principper om dataminimering og opbevaringsbegrænsning bør cookie-varigheder stå i rimeligt forhold til deres formål. En analysecookie, der varer i 10 år, ville være svær at retfærdiggøre. CNIL anbefaler maksimalt 13 måneder for analysecookies.

  5. Cookie-formål er dokumenteret i almindeligt sprog

    Hver cookies formål skal beskrives i et sprog, som en typisk besøgende kan forstå. "Denne cookie gemmer en unik identifikator til at spore din browsingaktivitet på tværs af vores websted til webanalyse" er tydeligt. "_ga: Bruges af Google Analytics til at skelne mellem brugere" er ikke tilstrækkeligt for de fleste brugere. Formålsbeskrivelsen bør besvare spørgsmålet: "Hvad gør denne cookie, og hvorfor skulle jeg tillade den?"

Samtykkemekanisme

Samtykkemekanismen er der, hvor juridiske krav møder teknisk implementering. At få dette rigtigt er det mest kritiske — og oftest fejlbehæftede — aspekt af cookie-compliance.

  1. Samtykke indhentes, FØR ikke-nødvendige cookies sættes

    Dette er det allervigtigste tekniske krav. Ingen analyse-, annoncerings- eller andre ikke-nødvendige cookies må sættes, før brugeren har givet aktivt samtykke. Det betyder, at tredjepartsscripts skal forhindres i at indlæses, indtil samtykke er modtaget. At slette cookies efterfølgende er ikke tilstrækkeligt — ePrivacy-direktivet kræver samtykke før lagring, ikke tilbagevirkende fjernelse. Test dette ved at besøge dit websted i et inkognitovindue og kontrollere, hvilke cookies der sættes, før du interagerer med banneret.

  2. Scripts blokeres, indtil samtykke gives

    At blokere cookies er ikke nok — de scripts, der sætter dem, skal forhindres i at køre. Et script, der indlæses og kører, men forhindres i at skrive en cookie, kan stadig indsamle og overføre data (via pixels, beacons eller API-kald). Din samtykkehåndtering skal forhindre selve scriptet i at indlæses, indtil den relevante samtykkekategori er accepteret. Almindelige implementeringsmetoder omfatter ændring af type-attributten på script-tags (f.eks. fra text/javascript til text/plain) og dynamisk indsprøjtning af scripts efter samtykke.

  3. Accept- og afvis-knapper er lige fremtrædende

    Muligheden for at afvise ikke-nødvendige cookies skal præsenteres lige så fremtrædende som muligheden for at acceptere dem. Det betyder samme visuelle behandling: samme størrelse, samme farvevægt, samme lag i grænsefladen. En stor grøn "Accepter alle"-knap ved siden af et lille gråt "Administrer indstillinger"-link udgør ikke lige fremtrædende placering. CNIL, Garante og adskillige andre datatilsyn har udstedt bøder specifikt for dette problem. Begge muligheder bør være på cookie-bannerets første lag uden at kræve yderligere klik.

  4. Granulært samtykke på kategoriniveau er tilgængeligt

    Brugere skal kunne give samtykke til specifikke kategorier af cookies uafhængigt. At acceptere analysecookies bør ikke kræve, at man også accepterer annonceringscookies. Som minimum skal du tilbyde separate skydeknapper for: strengt nødvendige (altid til, ikke skiftbare), funktionelle, analyse/ydeevne og markedsføring/annoncering. Hvis du bruger cookies til flere forskellige formål inden for en kategori, bør du overveje endnu mere granulære muligheder.

  5. Ingen forudafkrydsede felter

    Når en bruger åbner de detaljerede cookie-præferencer, skal alle valgfrie kategorier være uafkrydsede som standard. Kun strengt nødvendige cookies (som ikke kræver samtykke) må være forhåndsaktiveret. EU-Domstolen bekræftede i Planet49-dommen (sag C-673/17), at forudafkrydsede felter ikke udgør gyldigt samtykke. Dette gælder uanset, om brugeren kan fjerne krydset — standardtilstanden skal være fravalg, hvilket kræver en aktiv handling for at tilvælge.

  6. Tilbagetrækning af samtykke er lige så let som at give det

    Artikel 7, stk. 3, i GDPR kræver, at det skal være lige så let at trække samtykke tilbage, som det var at give det. Hvis en bruger kan acceptere cookies med et enkelt klik på et banner, skal vedkommende kunne trække samtykket tilbage med tilsvarende lethed. Bedste praksis er et vedvarende, altid synligt link eller ikon (f.eks. i sidefoden eller som en svævende knap), der åbner cookie-præferencecentret, hvor brugeren kan ændre eller tilbagekalde sine valg. At kræve, at brugeren rydder sine browsercookies, navigerer til en gemt indstillingsside eller kontakter support, opfylder ikke denne standard.

  7. Samtykkeoptegnelser gemmes med tidsstempler

    Du skal kunne dokumentere, at samtykke er givet. Gem en optegnelse over hver samtykkehandling, herunder: tidsstempel, de valgte samtykker (hvilke kategorier der blev accepteret/afvist), versionen af cookie-banneret og politikken, der var gældende på tidspunktet, samt en unik identifikator for samtykket (ikke nødvendigvis knyttet til en brugerkonto for anonyme besøgende). Under GDPR's ansvarlighedsprincip påhviler bevisbyrden for samtykke den dataansvarlige. Hvis du ikke kan fremlægge bevis for, at en bestemt bruger gav samtykke, er samtykket reelt ikke dokumenteret.

Cookiepolitik

Din cookiepolitik er både et juridisk dokument og et transparensværktøj. Den skal være præcis, fuldstændig og forståelig.

  1. Cookiepolitik findes og er tilgængelig

    En dedikeret cookiepolitik (eller et tydeligt cookie-afsnit i din privatlivspolitik) skal findes og være let at finde. Bedste praksis er en dedikeret side, der linkes fra dit websteds sidefod, dit cookie-banner og din primære privatlivspolitik. Politikken skal være tilgængelig uden at acceptere cookies — brugere skal kunne læse den, før de træffer en samtykkebeslutning.

  2. Alle cookies er opført med navne, formål, typer og varigheder

    Din cookiepolitik skal indeholde en tabel eller struktureret liste over hver eneste cookie, dit websted sætter, herunder: cookiens navn, hvem der sætter den (førstepart eller tredjepartsudbyder), hvad den gør (i almindeligt sprog), om det er en sessions- eller vedvarende cookie, og hvor længe den varer. Dette er ikke valgfrit — det er et eksplicit krav under GDPR's transparensbestemmelser (artikel 12-14) og ePrivacy-direktivets krav om informeret samtykke.

  3. Tredjepartsudbydere er identificeret

    Din politik skal navngive de tredjepartstjenester, der sætter cookies på dit websted. "Vi bruger tredjeparts-analysecookies" er ikke tilstrækkeligt. "Vi bruger Google Analytics (fra Google LLC), som sætter følgende cookies: _ga, _gid, _gat" er. Brugere har ret til at vide, hvem der indsamler data om dem, og til at træffe informerede beslutninger om hver udbyder.

  4. Instruktioner til administration af cookies er inkluderet

    Din politik bør forklare, hvordan brugere kan administrere deres cookie-præferencer, herunder: hvordan man tilgår dit cookie-præferencecenter for at ændre samtykkevalg, hvordan man sletter eksisterende cookies via browserindstillinger, og links til privatlivspolitikkerne for de vigtigste tredjeparts-cookieudbydere. Selv om cookiestyring på browserniveau er brugerens ansvar, viser tydelige instruktioner god tro og understøtter princippet om brugerens indflydelse.

  5. Politikken er dateret og opdateres regelmæssigt

    Din cookiepolitik skal indeholde datoen for den seneste opdatering. Hver gang du tilføjer nye cookies, fjerner cookies, ændrer tredjepartsudbydere eller ændrer cookie-formål, skal politikken opdateres for at afspejle ændringen. En udateret politik eller en, der ikke er blevet opdateret i over et år, er et advarselstegn for datatilsyn. Bedste praksis: integrer dine cookiescanningsresultater med din politik, så politikken opdateres automatisk, når nye cookies opdages.

Cookie-banner

Cookie-banneret er den synlige grænseflade for din samtykkehåndtering. Det skal balancere juridisk efterlevelse med brugervenlighed.

  1. Banneret vises ved første besøg, før cookies sættes

    Cookie-banneret skal vises, første gang en bruger besøger dit websted, før nogen ikke-nødvendige cookies sættes. Banneret bør være umiddelbart synligt uden at skulle scrolle, bør ikke let kunne afvises ved utilsigtede klik og bør forblive, indtil brugeren træffer et aktivt valg. Banneret må ikke hindre brugerens mulighed for at navigere væk fra siden eller tilgå væsentligt indhold (selv om det i visse jurisdiktioner kan være tilladt at begrænse adgang til indhold bag et samtykkekrav, er den sikreste tilgang at tillade navigation, mens banneret vises).

  2. Banneret er tilgængeligt (kan navigeres med tastatur, kompatibelt med skærmlæsere)

    Dit cookie-banner skal i sig selv være tilgængeligt. Det betyder: alle interaktive elementer (knapper, skydeknapper, links) skal kunne nås og betjenes via tastatur; banneret skal annonceres korrekt til skærmlæsere med passende ARIA-attributter; fokus skal håndteres korrekt (fokus bør flyttes til banneret, når det vises, og vende tilbage til siden, når det afvises); farvekontrast skal opfylde WCAG 2.1 AA-standarder (4,5:1 for normal tekst, 3:1 for stor tekst); og banneret skal være brugbart ved forskellige zoomniveauer og skærmstørrelser. Et utilgængeligt cookie-banner er både en juridisk risiko (manglende WCAG-efterlevelse) og en omdømmerisiko for enhver organisation, der hævder at bekymre sig om privatliv og inklusion.

  3. Banneret linker til den fulde cookiepolitik

    Cookie-banneret skal indeholde et link til din fulde cookiepolitik, så brugere kan læse detaljeret information om hver cookie, før de træffer deres samtykkebeslutning. Linket bør være tydeligt synligt og mærket (f.eks. "Læs vores cookiepolitik" eller "Læs mere"). GDPR kræver, at samtykke skal være "informeret", hvilket betyder, at den information, der er nødvendig for at træffe en informeret beslutning, skal være tilgængelig på samtykketidspunktet.

  4. Banneret bruger ikke dark patterns

    Dark patterns i cookie-bannere underminerer samtykkets gyldighed. Undgå: at gøre accept-knappen visuelt dominerende (større, klarere, mere fremtrædende), mens afvis-muligheden gøres diskret eller skjult; at bruge forvirrende sprog ("Accepter anbefalede indstillinger" i stedet for tydelige valg); at kræve flere klik for at afvise end for at acceptere; at bruge farvekodning, der antyder, at det er forkert at afvise (rød for afvis, grøn for accepter); at anvende "confirm-shaming"-sprog ("Nej, jeg er ligeglad med min oplevelse"); og ethvert andet design, der puffer, manipulerer eller narrer brugere mod accept. EDPB's retningslinjer om dark patterns (vedtaget februar 2023) giver detaljerede eksempler på forbudte praksisser.

Teknisk & løbende

Cookie-compliance er ikke et projekt med en slutdato. Det er en kontinuerlig driftsproces.

  1. Google Consent Mode v2 er implementeret (hvis du bruger Google-tjenester)

    Hvis du bruger nogen Google-tjenester (Analytics, Ads, Tag Manager), er Google Consent Mode v2 påkrævet fra marts 2024 for at vise annoncer i EØS. Consent Mode kommunikerer dine brugeres cookie-samtykkevalg til Googles tags og justerer deres adfærd baseret på samtykkestatus. Uden Consent Mode fungerer Google-tags muligvis ikke korrekt med din samtykkehåndteringsplatform, hvilket enten fører til datatab (tags blokeres helt) eller compliance-overtrædelser (tags aktiveres uden samtykke). Implementer både samtykkeparametrene ad_storage og analytics_storage, og sørg for, at de som standard er sat til "denied", indtil samtykke gives.

  2. Regelmæssig cookiescanning er planlagt

    Opsæt automatiserede cookiescanninger på en tilbagevendende tidsplan. Scan som minimum månedligt. Ideelt set integrerer du scanning i din deployment-pipeline, så hver udgivelse scannes automatisk. Konfigurer notifikationer for nye eller ændrede cookies, så dit team kan evaluere og kategorisere dem hurtigt. En scanning, der kører, men aldrig gennemgås, giver ingen compliance-fordel.

  3. Proces for gennemgang af nye tredjepartsscripts

    Etabler en formel proces, der skal følges, før et nyt tredjepartsscript, plugin eller en tjeneste tilføjes til dit websted. Processen bør omfatte: identifikation af hvilke cookies scriptet sætter, kategorisering af disse cookies, opdatering af samtykkehåndteringskonfigurationen til at inkludere dem, opdatering af cookiepolitikken og verifikation af, at scriptet blokeres korrekt, indtil passende samtykke gives. Denne proces bør involvere både teknisk (udvikling) og compliance-mæssig (juridisk/privatlivsmæssig) gennemgang. Den mest almindelige årsag til svigt i cookie-compliance er, at nye scripts tilføjes til et websted uden at gennemgå en privatlivsgennemgang.

  4. Medarbejdere er trænet i cookie-compliance

    Alle, der er involveret i dit websted — udviklere, marketingfolk, indholdsskabere og ledere — bør forstå grundprincipperne for cookie-compliance og deres rolle i at opretholde det. Udviklere skal vide, hvordan man tilføjer scripts på en samtykkebevidst måde. Marketingfolk skal forstå, at tilføjelse af en ny sporingspixel kræver en compliance-gennemgang. Indholdsskabere skal vide, at indlejring af en YouTube-video introducerer tredjepartscookies. Træningen behøver ikke at være omfattende, men den skal dække det centrale princip: ingen ny sporing uden gennemgang. Et enkelt utrænet teammedlem, der tilføjer et marketingscript uden at gennemgå processen, kan omgøre måneders compliance-arbejde.

Sådan bruger du denne tjekliste

Denne tjekliste er designet til at kunne bruges på tre måder:

  • Første implementering: Gennemarbejd alle 25 punkter i rækkefølge, når du opsætter cookie-compliance for første gang. Spring ikke punkter over, og gem dem ikke til senere — delvis efterlevelse er stadig manglende efterlevelse.
  • Regelmæssig revision: Gennemgå tjeklisten kvartalsvis for at verificere, at alle punkter fortsat er opfyldt. Vær særligt opmærksom på de løbende punkter (punkt 22-25), da disse er dem, der oftest skrider over tid.
  • Efter ændringer: Hver gang dit websted gennemgår en væsentlig ændring (nye funktioner, nye tredjepartstjenester, redesign, CMS-migrering), skal du gennemgå de relevante afsnit af tjeklisten for at verificere, at efterlevelsen opretholdes.

Cookie-compliance er opnåeligt. Det kræver opmærksomhed og proces, men ingen af de enkelte krav er urimeligt svære. De organisationer, der kæmper, er typisk dem, der behandler compliance som et engangsprojekt snarere end en løbende driftsopgave. Byg det ind i din arbejdsgang, tildel klart ejerskab, og brug denne tjekliste som dit tilbagevendende verifikationsværktøj.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis