Skip to main content

Cookiepolitik: Hvad det er, og hvad den skal indeholde

En cookiepolitik er et dokument, der forklarer dine besøgende, hvilke cookies og lignende sporingsteknologier dit website bruger, hvorfor det bruger dem, og hvordan brugerne kan styre dem. Det er et lovkrav i henhold til både ePrivacy Directive og GDPR, og det er en hjørnesten i gennemsigtig databehandling.

Denne guide beskriver, hvad en cookiepolitik er, hvordan den adskiller sig fra en privatlivspolitik, hvad den skal indeholde efter gældende regler, og hvordan du holder den korrekt over tid.

Hvad er en cookiepolitik?

En cookiepolitik er et dedikeret dokument — enten en selvstændig side eller et tydeligt identificerbart afsnit i din privatlivspolitik — der giver omfattende information om dit websites brug af cookies og lignende teknologier (local storage, session storage, pixel-tags, web beacons, fingerprinting og lignende).

Retsgrundlaget for kravet om en cookiepolitik kommer fra to overlappende regelsæt:

  • ePrivacy Directive (2002/58/EF), artikel 5, stk. 3 — kræver, at brugerne får "klar og fyldestgørende information" om formålene med cookies, før samtykke indhentes.
  • GDPR, artikel 12-14 — kræver gennemsigtighed omkring databehandling, herunder hvilke data der indsamles, til hvilke formål, med hvem de deles, og hvor længe de opbevares.

Tilsammen kræver disse regelsæt, at du fortæller dine brugere præcis, hvilke sporingsteknologier du bruger, og giver dem reel kontrol over disse teknologier.

Cookiepolitik kontra privatlivspolitik

En cookiepolitik og en privatlivspolitik supplerer hinanden, men er forskellige dokumenter. Det er vigtigt at forstå forskellen:

Aspekt Cookiepolitik Privatlivspolitik
Omfang Specifikt cookies og sporingsteknologier Al behandling af persondata (formularer, konti, køb osv.)
Retsgrundlag ePrivacy Directive + GDPR's gennemsigtighedskrav GDPR artikel 12-14
Indholdsfokus Cookienavne, formål, varighed, typer, kategorier, kontrolmekanismer Datakategorier, retsgrundlag, rettigheder, overførsler, DPO, opbevaring
Format Selvstændig side eller afsnit i privatlivspolitikken Selvstændig side (påkrævet)
Opdateringsfrekvens Når cookies ændres (tilføjelse/fjernelse af værktøjer, leverandører) Når databehandlingspraksis ændres

Du kan medtage din cookiepolitik som et afsnit i din privatlivspolitik, men det skal være tydeligt identificerbart og let at navigere til. Mange organisationer vedligeholder en separat cookiepolitik-side for overskuelighedens skyld, og fordi cookieinformation kan være ganske detaljeret.

Dit cookiebanner bør linke til din cookiepolitik. Hvis din cookieinformation er et afsnit i din privatlivspolitik, bør linket føre direkte til dette afsnit — tving ikke brugerne til at scrolle gennem sider af irrelevant privatlivsinformation for at finde cookiedetaljerne.

Lovkrav om en cookiepolitik

ePrivacy Directive kræver "klar og fyldestgørende information" som forudsætning for gyldigt samtykke. GDPR's gennemsigtighedsprincip (artikel 5, stk. 1, litra a) og oplysningskrav (artikel 13-14) kræver desuden, at denne information er:

  • Kortfattet, gennemsigtig og letforståelig (artikel 12, stk. 1)
  • Formidlet i et klart og enkelt sprog (artikel 12, stk. 1)
  • Let tilgængelig (artikel 12, stk. 1)
  • Stillet til rådighed gratis (artikel 12, stk. 5)

I praksis: din cookiepolitik skal være skrevet i et sprog, som en person uden teknisk baggrund kan forstå, den skal linkes fra dit cookiebanner og din website-footer, og den skal indeholde specifik information om hver enkelt cookie, dit website bruger.

Hvad en cookiepolitik skal indeholde

Baseret på de samlede krav fra ePrivacy Directive, GDPR og vejledning fra databeskyttelsesmyndigheder, herunder ICO (Storbritannien), CNIL (Frankrig) og Artikel 29-gruppen, skal din cookiepolitik indeholde følgende information:

1. Hvilke cookies du bruger

Giv en komplet liste over alle cookies og lignende teknologier, der er aktive på dit website. Dette omfatter cookies sat af din egen kode (førstepart) samt cookies sat af tredjepartstjenester, du bruger (analyseplatforme, annoncenetværk, widgets til sociale medier, indlejret indhold, chatbots osv.).

Hver cookie skal identificeres ved navn. "Vi bruger analytiske cookies" er ikke tilstrækkeligt — du skal angive de specifikke cookies: for eksempel _ga, _gid, _gat for Google Analytics.

2. Formålet med hver cookie

For hver cookie eller gruppe af beslægtede cookies skal du i et enkelt sprog forklare, hvad den gør. Undgå teknisk jargon. Effektive formålsbeskrivelser:

  • "Gemmer dine cookiesamtykker, så vi ikke spørger igen ved hvert besøg."
  • "Hjælper os med at tælle, hvor mange der besøger vores website, og hvilke sider der er mest populære."
  • "Giver os mulighed for at vise dig annoncer, der er relevante for dine interesser, på andre websites."

3. Førstepart kontra tredjepart

Angiv, om hver cookie sættes direkte af dit website (førstepart) eller af en ekstern tjeneste (tredjepart). For tredjepartscookies skal du identificere leverandøren og linke til deres privatlivspolitik. Brugerne har ret til at vide ikke blot, at deres data indsamles, men også af hvem.

4. Varighed / udløb

Angiv, hvor længe hver cookie består. Der findes to typer:

  • Session-cookies — slettes, når brugeren lukker sin browser. Angiv dette tydeligt: "Session (slettes, når du lukker din browser)."
  • Vedvarende cookies — forbliver på brugerens enhed i en fastsat periode. Angiv den specifikke varighed: "2 år", "30 dage", "13 måneder". Brug ikke vage udtryk som "langsigtet".

Databeskyttelsesmyndighederne har haft cookievarigheder under lup. CNIL anbefaler for eksempel, at samtykkecookies (de cookies, der gemmer brugerens samtykkevalg) ikke bør overstige 13 måneder.

5. Sådan administrerer og sletter du cookies

Forklar, hvordan brugerne kan styre cookies gennem to mekanismer:

  • Dit samtykkebanner. Forklar, at brugerne til enhver tid kan ændre deres cookiepræferencer via dine cookieindstillinger (angiv placeringen af indstillingslinket/ikonet).
  • Browserindstillinger. Giv generelle instruktioner til håndtering af cookies i almindelige browsere (Chrome, Firefox, Safari, Edge). Du behøver ikke give trin-for-trin-instruktioner, men du bør forklare, at browserindstillinger findes, og linke til de relevante supportsider for hver browser.

6. Sådan trækker du samtykke tilbage

GDPR artikel 7, stk. 3, kræver, at det skal være lige så let at trække samtykke tilbage som at give det, og at brugerne informeres om denne ret før de giver samtykke. Din cookiepolitik skal forklare:

  • At brugeren har ret til at trække sit samtykke tilbage til enhver tid.
  • Hvordan det gøres (typisk: klik på cookieindstillingsikonet/-linket, der er synligt på alle sider, eller ryd cookies via browserindstillingerne).
  • At tilbagetrækning af samtykke ikke påvirker lovligheden af den behandling, der er baseret på samtykke, inden det trækkes tilbage.

7. Cookiekategorier

Organiser cookies i de standardkategorier, dit samtykkebanner bruger. Den mest udbredte kategorisering er:

  • Strengt nødvendige — cookies, der kræves for, at websitet fungerer (login-sessioner, indkøbskurve, sikkerhedstokens). Disse kræver ikke samtykke i henhold til ePrivacy Directive.
  • Præferencer / funktionelle — cookies, der husker brugervalg (sprog, region, visningsindstillinger). Disse forbedrer oplevelsen, men er ikke afgørende.
  • Analyse / statistik — cookies, der bruges til at indsamle anonyme brugsdata (sidevisninger, trafikkilder, brugeradfærdsmønstre).
  • Markedsføring / annoncering — cookies, der bruges til målrettet annoncering, retargeting og annoncemåling.

Kategorierne i din cookiepolitik bør stemme overens med kategorierne i dit samtykkebanner. Uoverensstemmelse mellem de to dokumenter undergraver gennemsigtigheden.

8. Kontaktoplysninger

Angiv kontaktoplysninger for spørgsmål om din cookiepraksis. Dette omfatter typisk:

  • Den dataansvarliges identitet (dit firmanavn og registrerede adresse)
  • E-mailadresse til henvendelser om privatliv
  • Kontaktoplysninger på databeskyttelsesrådgiveren (DPO), hvis du har udpeget en
  • Din tilsynsmyndighed (den relevante databeskyttelsesmyndighed)

Hvor du skal vise din cookiepolitik

Din cookiepolitik skal være let tilgængelig fra flere placeringer:

  • Website-footer. Et "Cookiepolitik"-link i din footer, synligt på alle sider. Dette er den standardplacering, brugerne forventer.
  • Cookiebanner. Et direkte link fra dit cookiebanner til den fulde cookiepolitik. Dette er et lovkrav — brugerne skal kunne tilgå detaljeret information fra samtykkegrænsefladen.
  • Panel for cookieindstillinger/-præferencer. Det andet lag i din samtykkegrænseflade bør linke til cookiepolitikken for brugere, der ønsker mere information.
  • Privatlivspolitik. Hvis din cookiepolitik er et separat dokument, skal du krydshenvise til den fra din privatlivspolitik og omvendt.

Præsentation af cookieinformation

Det mest effektive og gennemsigtige format til at præsentere enkelte cookies er en tabel. Databeskyttelsesmyndigheder, herunder ICO, anbefaler dette format:

Cookienavn Leverandør Formål Type Varighed
_ga Google Analytics Skelner mellem unikke besøgende ved at tildele et tilfældigt genereret tal Tredjepart, analyse 2 år
_gid Google Analytics Skelner mellem unikke besøgende for den aktuelle dag Tredjepart, analyse 24 timer
cookie_consent Dette website Gemmer dine cookiesamtykker Førstepart, nødvendig 12 måneder

Dette format er klart, let at skimme og giver al påkrævet information med et enkelt blik.

Hvor ofte skal den opdateres

Din cookiepolitik skal til enhver tid være korrekt. Opdater den, når:

  • Du tilføjer en ny tredjepartstjeneste, der sætter cookies (et nyt analyseværktøj, en ny markedsføringsplatform, en ny chatbot).
  • Du fjerner en tjeneste, der tidligere satte cookies.
  • En tredjepartstjeneste ændrer sine cookies (nye navne, ny varighed, nye formål).
  • Du ændrer kategorierne i dit samtykkebanner.
  • Reguleringsvejledningen ændres (nye krav, ny best practice).

Medtag en "Senest opdateret"-dato i toppen eller bunden af din cookiepolitik. Det viser, at politikken vedligeholdes aktivt, og hjælper brugerne med at vurdere, hvor aktuel den er.

Udfordringen er naturligvis at vide, hvornår dine cookies ændrer sig. Tredjepartstjenester opdaterer ofte deres sporing, og en cookie, der fandtes for tre måneder siden, kan være blevet erstattet eller omdøbt. Manuelle audits er upålidelige, fordi de afhænger af, at nogen husker at tjekke.

Hold din politik korrekt med automatiseret scanning

Den mest almindelige compliancefejl i cookiepolitikker er ikke fravær af information — det er ukorrekt information. En politik, der lister cookies, du ikke længere bruger, eller som undlader at nævne cookies tilføjet af en nylig markedsføringsværktøjsintegration, er ikke compliant.

Automatiseret cookiescanning løser dette problem. En scanner besøger dit website med jævne mellemrum, identificerer alle cookies, der sættes, sammenligner dem med dine deklarerede cookies og advarer dig om uoverensstemmelser.

Passiro scanner automatisk dit website for cookies, kategoriserer dem og fremhæver alle ikke-deklarerede cookies, som endnu ikke er afspejlet i din politik. Det betyder, at din cookiepolitik forbliver korrekt uden manuelle audits. Læs mere om Passiros automatiserede cookiescanning.

I denne sektion

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis