Skip to main content

Opt-in vs. opt-out: Forstå de to samtykkemodeller

Verden har to grundlæggende forskellige tilgange til cookiesamtykke. EU kræver opt-in: ingen cookies, før brugeren siger ja. USA (i de fleste stater) tillader opt-out: cookies placeres som standard, og brugeren kan sige nej. At forstå disse to modeller — deres juridiske grundlag, deres konsekvenser, og hvor de hver især gælder — er afgørende for enhver hjemmeside med et globalt publikum.

Opt-in-modellen

Under opt-in-modellen må ikke-nødvendige cookies ikke placeres, før brugeren har givet et udtrykkeligt, aktivt samtykke. Ingen handling fra brugeren betyder ingen cookies. Dette er den model, som EU's ePrivacy Directive (artikel 5, stk. 3) kræver, som fortolket gennem GDPR's definition af samtykke (artikel 4, nr. 11).

Sådan fungerer opt-in i praksis

  1. Brugeren besøger hjemmesiden for første gang.
  2. Kun strengt nødvendige cookies er aktive. Analyse-, marketing- og præferencecookies er blokeret.
  3. En samtykkemekanisme vises, som præsenterer cookiekategorier og beder brugeren om at træffe et valg.
  4. Brugeren vælger aktivt, hvilke kategorier der skal accepteres (eller klikker på "Accepter alle" eller "Afvis alle").
  5. Kun de scripts, der svarer til de accepterede kategorier, indlæses.
  6. Hvis brugeren ikke foretager sig noget, sættes der ingen ikke-nødvendige cookies. Samtykkemekanismen forbliver synlig (eller tilgængelig), indtil brugeren træffer et valg.

Juridisk grundlag

Kravet om opt-in udspringer af to kilder:

  • ePrivacy Directive artikel 5, stk. 3: Kræver "samtykke", før der lagres oplysninger på en brugers enhed.
  • GDPR artikel 4, nr. 11: Definerer samtykke som noget, der kræver en "klar bekræftende handling" — hvilket udelukker passivitet, forudafkrydsede felter og stiltiende accept.
  • EU-Domstolens Planet49-afgørelse (C-673/17): Bekræftede, at aktivt samtykke er påkrævet, og at forudafkrydsede felter ikke udgør gyldigt samtykke.

Hvor gælder opt-in

Alle EU/EØS-medlemsstater (27 EU-lande plus Norge, Island og Liechtenstein) samt Storbritannien (som bibeholdt ePrivacy-reglerne efter Brexit via Privacy and Electronic Communications Regulations, eller PECR).

Konsekvenser for hjemmesideoperatører

  • Forvent betydelige afvisningsrater for samtykke. Branchedata tyder på, at 30-50 % af europæiske besøgende afviser ikke-nødvendige cookies, når de får et reelt valg.
  • Analysedata vil være ufuldstændige. Du får kun data fra brugere, der har givet samtykke. Dette er ikke en fejl — det er lovgivningens tilsigtede resultat.
  • Scriptindlæsning skal være betinget. Du har brug for en teknisk mekanisme, der blokerer scripts, indtil samtykke er registreret. Dette kan ikke gøres med et banner alene — det kræver egentlig scripthåndtering.

Opt-out-modellen

Under opt-out-modellen kan cookies placeres som standard. Brugeren har ret til at afvise eller fravælge, men medmindre vedkommende foretager sig noget, er sporing tilladt. Dette er den model, der anvendes i USA og flere andre jurisdiktioner.

Sådan fungerer opt-out i praksis

  1. Brugeren besøger hjemmesiden.
  2. Alle cookies — herunder analyse- og marketingcookies — placeres med det samme.
  3. En meddelelse informerer brugeren om, at der anvendes cookies, og giver mulighed for at fravælge dem.
  4. Hvis brugeren ikke foretager sig noget, forbliver cookies aktive.
  5. Hvis brugeren fravælger, respekteres deres præferencer fremadrettet (og i nogle jurisdiktioner kan tidligere indsamlede data skulle slettes).

Juridisk grundlag

Opt-out-modellen findes i:

  • CCPA/CPRA (Californien): Californiske forbrugere har ret til at fravælge "salg" eller "deling" af personoplysninger. Cookies, der bruges til adfærdsbaseret annoncering på tværs af kontekster, udgør "deling" under CPRA. Forpligtelsen er at tilbyde en fravalgsmekanisme (ofte via et "Do Not Sell or Share My Personal Information"-link), ikke at indhente forudgående samtykke.
  • CAN-SPAM Act og FTC-vejledning: Den amerikanske føderale tilgang til online sporing har historisk været baseret på oplysning-og-valg snarere end aktivt samtykke.
  • Diverse amerikanske delstatslove: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) og andre følger variationer af opt-out-modellen for målrettet annoncering og datasalg.

Hvor gælder opt-out

USA (med variationer fra stat til stat), Canada (PIPEDA — selvom dette kan ændre sig med foreslåede reformer), Australien (under Privacy Act — også under revision) og flere andre jurisdiktioner uden for EU/EØS.

Konsekvenser for hjemmesideoperatører

  • Mere dataindsamling som standard. Da cookies placeres, medmindre brugeren gør indsigelse, er analyse- og annoncedata mere komplette.
  • Skal tilbyde en tydelig fravalgsmekanisme. Under CCPA/CPRA betyder dette et "Do Not Sell or Share My Personal Information"-link, der er nemt at finde og bruge.
  • Skal respektere Global Privacy Control (GPC). Californisk lovgivning kræver, at virksomheder behandler GPC-browsersignalet som en gyldig fravalgsanmodning.

Detaljeret sammenligning

Aspekt Opt-in (EU/GDPR) Opt-out (US/CCPA)
Standardtilstand Cookies blokeret indtil samtykke Cookies aktive som standard
Brugerhandling påkrævet Skal handle for at tillade cookies Skal handle for at stoppe cookies
Tavshed / passivitet Betyder intet samtykke (ingen cookies) Betyder antaget samtykke (cookies aktive)
Samtykkemekanisme Detaljeret valg pr. kategori Fravalgslink eller kontakt
Forudafkrydsede felter Ikke tilladt (Planet49-afgørelsen) Tilladt (opt-out-modellen)
Analysepåvirkning 30-50 % datatab fra manglende samtykke Minimalt datatab (få fravælger)
Tilbagetrækning Lige så nemt som at give samtykke (GDPR art. 7, stk. 3) Skal tilbydes, intet krav om samme lethed
Børn Forældresamtykke under 13-16 år (varierer) COPPA gælder for børn under 13 år
Central lovgivning ePrivacy Directive + GDPR CCPA/CPRA + delstatslove
Maksimale bøder 20 mio. EUR eller 4 % af global omsætning 7.500 USD pr. forsætlig overtrædelse (CCPA)

Kan du bruge forskellige modeller for forskellige regioner?

Ja, og det gør mange globale hjemmesider. Denne tilgang kaldes geografisk målrettet samtykkehåndtering. Hjemmesiden registrerer den besøgendes placering (typisk via IP-geolokalisering) og præsenterer den relevante samtykkemodel:

  • Besøgende fra EU/EØS/Storbritannien: Opt-in-model med detaljeret samtykke.
  • Californiske besøgende: Opt-out-model med "Do Not Sell or Share"-link.
  • Øvrige amerikanske besøgende: Kun oplysning (afhængigt af delstatslovens anvendelighed).
  • Øvrige jurisdiktioner: Baseret på gældende lokal lovgivning.

Udfordringer ved geografisk målretning

  • IP-geolokalisering er ikke perfekt. VPN-brugere kan blive placeret forkert. Mobilbrugere kan bevæge sig mellem jurisdiktioner.
  • Vedligeholdelsesbyrde. Du skal følge lovgivningsmæssige udviklinger i hver jurisdiktion, du betjener, og opdatere dine samtykkeflows i overensstemmelse hermed.
  • Testkompleksitet. Du skal verificere, at hver regional variant fungerer korrekt — forskellige bannere, forskellige standardtilstande, forskellig scriptblokering.
  • GDPR gælder eksterritorialt. Hvis du målretter dig mod EU-brugere (artikel 3, stk. 2), gælder GDPR, uanset hvor din virksomhed er placeret. "Målretning" omfatter at tilbyde varer eller tjenester til EU-borgere eller at overvåge deres adfærd.

Bedste praksis: Vælg opt-in som standard

Hvis håndteringen af flere samtykkemodeller virker uoverskuelig, findes der en enklere vej: brug opt-in-modellen globalt som standard.

Her er hvorfor det fungerer:

  1. Compliance overalt. Opt-in-modellen opfylder de strengeste krav. Hvis du overholder GDPR's samtykkekrav, overgår du automatisk kravene i CCPA, LGPD og de fleste andre rammer.
  2. Enkelhed. Én samtykkemekanisme, én implementering, ét sæt tests. Ingen geo-registrering, ingen regionale varianter, ingen særtilfælde.
  3. Fremtidssikring. Den globale tendens går mod strengere samtykkekrav. Foreslåede reformer i USA, Canada, Australien og Indien bevæger sig alle i retning af mere udtrykkeligt samtykke. At bygge til opt-in nu betyder, at du ikke behøver at eftermontere senere.
  4. Brugertillid. Brugere over hele verden reagerer positivt på gennemsigtige og respektfulde samtykkepraksisser. At tilbyde et reelt valg — selv hvor loven ikke strengt kræver det — opbygger tillid og brandtroværdighed.
  5. Datakvalitet. Data indsamlet med samtykke er renere, mere forsvarlige og mere værdifulde end data indsamlet gennem juridisk uklarhed.

Afvejningen er reel: du indsamler mindre data globalt. Men de data, du rent faktisk indsamler, vil være juridisk holdbare, etisk rene og stadig mere værdifulde, i takt med at tredjepartsdata bliver mindre tilgængelige.

Nye udviklinger

Samtykkelandskabet er ikke statisk. Flere udviklinger er værd at holde øje med:

  • ePrivacy Regulation. EU har siden 2017 arbejdet på en afløser for ePrivacy Directive. Når den vedtages, bliver den en direkte anvendelig forordning (ligesom GDPR) frem for et direktiv, der kræver national gennemførelse. Samtykkereglerne for cookies forventes at forblive de samme som eller strengere end den nuværende ramme.
  • Global Privacy Control (GPC). Dette signal på browserniveau kommunikerer automatisk en brugers privatlivspræferencer. Californisk lovgivning kræver allerede, at GPC respekteres. Det samme gør Colorado og Connecticut. Dette kan blive en standardmekanisme til at kommunikere fravalgspræferencer.
  • Consent or Pay-modeller. EDPB's udtalelse fra 2024 om "consent or pay" (særligt i forbindelse med Metas tilgang) er med til at forme, hvordan tilsynsmyndigheder ser på forholdet mellem samtykke og adgang til tjenester.
  • Samtykke på browserniveau. Nogle forslag vil flytte samtykkehåndteringen fra de enkelte hjemmesider til selve browseren, hvor brugerne indstiller deres præferencer én gang i stedet for på hver eneste side. Dette ville grundlæggende ændre, hvordan samtykke fungerer i praksis.

Passiro hjælper dig med at implementere den rigtige samtykkemodel for dit publikum, med automatisk registrering og kategorisering af alle cookies på dit website — uanset om du vælger opt-in, opt-out eller en geografisk målrettet tilgang.

I vores sidste afsnit ser vi nærmere på bedste praksis for samtykke — den praktiske, handlingsorienterede vejledning til at implementere samtykke, der både er i overensstemmelse med reglerne og brugervenligt.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis