Skip to main content

Cookie-scanning og -audit: Kend det, dit website sætter

Du kan ikke overholde cookie-lovgivningen, hvis du ikke ved, hvilke cookies dit website sætter. Det virker indlysende, men er alligevel det absolut mest almindelige svigt inden for cookie-compliance. Websites udvikler sig konstant — nye plugins installeres, marketingtags tilføjes, tredjepartsscripts opdateres — og hver ændring kan introducere nye cookies. En cookie-audit er ikke en engangsopgave. Det er en løbende proces, der skal følge med dit websites udvikling.

Hvorfor cookie-scanning er vigtigt

Enhver forpligtelse inden for cookie-compliance afhænger af, at du har en nøjagtig og komplet oversigt over dine cookies. Uden den:

  • Er dit cookiebanner ufuldstændigt. Hvis dit banner viser fire kategorier af cookies, men dit website reelt sætter cookies i en femte kategori, kan brugerne ikke give et informeret samtykke. Deres samtykke er ugyldigt efter GDPR.
  • Er din cookiepolitik unøjagtig. Datatilsyn forventer, at din cookiepolitik lister hver cookie med navn, formål, type og varighed. En ufuldstændig eller forældet politik er et compliance-svigt, som tilsyn aktivt leder efter under audits.
  • Blokerer din samtykkemekanisme muligvis ikke alle cookies. Hvis et nyligt tilføjet script sætter cookies, der ikke er inkluderet i din opsætning af samtykkehåndtering, aktiveres disse cookies uden samtykke — en direkte overtrædelse af artikel 5(3) i ePrivacy-direktivet.
  • Kan du ikke besvare brugeranmodninger. Efter GDPR har brugerne ret til at vide, hvilke data du indsamler om dem. Hvis du ikke ved, hvilke cookies dit website sætter, kan du ikke give præcise svar på anmodninger om indsigt fra de registrerede.

Hvad en cookie-scanning afslører

En grundig cookie-scanning identificerer:

  • Cookienavne: Den præcise identifikator for hver cookie (f.eks. _ga, _fbp, JSESSIONID).
  • Oprindelse: Om cookien er en førstepartscookie (sat af dit domæne) eller en tredjepartscookie (sat af et eksternt domæne).
  • Type: Sessionscookie (slettes, når browseren lukkes) eller vedvarende cookie (bevares i en angiven periode).
  • Varighed: Hvor længe cookien bevares, før den udløber (f.eks. 30 minutter, 1 år, 2 år).
  • Formål: Hvad cookien gør — sessionsstyring, analyse, annoncering, personalisering eller funktionelle formål.
  • Kategori: Den compliance-kategori, cookien tilhører — strengt nødvendig, funktionel, analyse/ydeevne eller markedsføring/annoncering.
  • Tredjepartsudbyder: Hvis cookien sættes af en tredjepart, hvilken tjeneste den tilhører (Google Analytics, Facebook, HubSpot, Hotjar osv.).
  • Indsamlede data: Hvilke oplysninger cookien lagrer eller muliggør indsamling af.

Manuel cookie-scanning med browserens DevTools

Den mest grundlæggende metode til cookie-scanning bruger de udviklerværktøjer, der er indbygget i enhver moderne browser. Selvom manuel scanning har betydelige begrænsninger, er den nyttig til stikprøver og til at forstå, hvordan cookies fungerer på dit website.

Trin for trin: Manuel cookie-audit i Chrome

  1. Åbn et inkognito-/privat vindue. Det sikrer, at du starter med et rent udgangspunkt — ingen eksisterende cookies fra tidligere besøg.
  2. Åbn DevTools (tryk på F12, eller højreklik og vælg "Inspicér").
  3. Gå til fanen Application (i Chrome) eller fanen Storage (i Firefox).
  4. Udvid afsnittet "Cookies" i venstre sidebar. Du vil se en liste over domæner.
  5. Besøg dit website uden at interagere med cookiebanneret. Bemærk, hvilke cookies der sættes med det samme — det er de cookies, der sættes før samtykke, hvilket kun bør være strengt nødvendige cookies.
  6. Accepter alle cookies på dit cookiebanner. Opdater fanen Application/Storage, og bemærk de nye cookies, der dukker op.
  7. Naviger gennem centrale sider på dit website (forside, produktsider, kassen, kontaktformular, blog). Nogle cookies sættes kun på bestemte sider eller efter bestemte interaktioner.
  8. Dokumentér hver cookie: For hver cookie, du finder, skal du registrere dens navn, domæne, sti, udløbsdato, størrelse, og om den er HTTP-only eller secure.
  9. Tjek fanen Network for yderligere tracking. Nogle trackingteknologier bruger pixels, beacons eller API-kald frem for traditionelle cookies. Fanen Network afslører alle udgående anmodninger til tredjepartsdomæner.

Begrænsninger ved manuel scanning

Manuel scanning er værdifuld til læring og stikprøver, men den har alvorlige begrænsninger, når det gælder compliance:

  • Ufuldstændig dækning. Du kan kun tjekke de sider, du besøger manuelt. Et stort website med hundredvis af sider kan sætte forskellige cookies på forskellige sider. Manuel scanning kan ikke i praksis dække dem alle.
  • Ingen kategorisering. DevTools viser dig de rå cookiedata, men kategoriserer ikke cookies efter formål eller compliance-kategori. Du skal undersøge hver cookie individuelt.
  • Kun et øjebliksbillede. Manuel scanning giver dig et snapshot. Den registrerer ikke nye cookies, der tilføjes efter din audit.
  • Ingen verificering af scriptblokering. Manuel scanning kan ikke let verificere, at din platform til samtykkehåndtering korrekt blokerer scripts før samtykke.
  • Tidskrævende. For et website med blot 20 sider tager det timer at tjekke hver side manuelt og dokumentere hver cookie.

Automatiseret cookie-scanning

Automatiserede cookie-scanningsværktøjer imødegår begrænsningerne ved manuel scanning ved at crawle hele dit website, identificere alle cookies og kategorisere dem systematisk. Et godt automatiseret scanningsværktøj tilbyder:

  • Omfattende crawling: Scanneren besøger hver side på dit website (eller en defineret delmængde), inklusive sider, der kun er tilgængelige via navigation eller søgning.
  • Før og efter samtykke: Scanneren tjekker, hvilke cookies der sættes, før samtykke gives, hvilke der dukker op efter samtykke, og om afviste kategorier blokeres korrekt.
  • Automatisk kategorisering: Kendte cookies (såsom Google Analytics' _ga eller Facebooks _fbp) kategoriseres automatisk på baggrund af vedligeholdte databaser over cookieformål.
  • Identifikation af tredjeparter: Alle tredjepartsdomæner, der sætter cookies, identificeres og dokumenteres.
  • Planlagt scanning: Scanninger kører automatisk efter en tidsplan (ugentligt, efter deployments) for at fange nye cookies, efterhånden som de dukker op.
  • Ændringsregistrering: Scanneren advarer dig, når nye cookies dukker op, eller eksisterende cookies ændrer sig, så du kan opdatere din samtykkemekanisme og cookiepolitik.
  • Compliance-rapporter: Resultaterne formateres på en måde, der understøtter din compliance-dokumentation.

Hvad du skal kigge efter i et cookie-scanningsværktøj

Når du vurderer automatiserede cookie-scanningsløsninger, bør du overveje:

  1. JavaScript-rendering: Mange cookies sættes af JavaScript, der kører, efter siden er indlæst. Scanneren skal eksekvere JavaScript (ved hjælp af en rigtig browsermotor) for at registrere disse cookies. Simple HTTP-crawlere, der ikke renderer JavaScript, vil overse de fleste tredjepartscookies.
  2. Crawlingens dybde: Scanneren bør følge interne links og crawle hele dit website, ikke kun forsiden. Cookies, der sættes af indlejrede videoer, formularer, chatwidgets eller betalingsudbydere på bestemte sider, vil blive overset, hvis kun forsiden scannes.
  3. Simulering af første besøg: Scanneren bør simulere en førstegangsbesøgende (ingen eksisterende cookies, intet samtykke givet) for at verificere, at der ikke sættes ikke-nødvendige cookies før samtykke.
  4. Cookiedatabase: En vedligeholdt database over kendte cookies med deres formål og kategorier reducerer den manuelle indsats ved klassificering markant.
  5. Rapportering: Klare, eksporterbare rapporter, der kan deles med juridiske, marketing- og udviklingsteams.
  6. Planlægning og advarsler: Automatisk scanning efter en konfigurerbar tidsplan med notifikationer, når nye cookies registreres.

Cookie-scanningsprocessen

En grundig cookie-scanning følger fem trin, uanset om den udføres manuelt eller med automatiserede værktøjer:

Trin 1: Crawl alle sider

Start med at opbygge et komplet kort over dit website. Det inkluderer alle offentlige sider, autentificerede sider (hvis relevant), landingssider, kvitteringssider, fejlsider og enhver side, som en besøgende måtte tilgå. Begræns ikke din scanning til forsiden — cookies sættes ofte af tredjepartsscripts, der kun indlæses på bestemte sider (f.eks. en YouTube-indlejring i et blogindlæg, en betalingsudbyder på kassesiden eller en chatwidget, der kun vises på supportsider).

Trin 2: Identificér alle cookies

For hver side registreres alle cookies, der sættes. Det omfatter både HTTP-cookies (synlige i Set-Cookie-headeren og browserens cookielager) og klientsidelagringsmekanismer (localStorage, sessionStorage, IndexedDB), der kan fungere som trackingteknologier, selvom de teknisk set ikke er cookies.

Trin 3: Fastlæg cookiens oprindelse

For hver cookie skal du identificere, om den er en førstepartscookie (sat af dit eget domæne) eller en tredjepartscookie (sat af et eksternt domæne). Tredjepartscookies er særligt vigtige for compliance, fordi de typisk indebærer deling af data med eksterne organisationer, hvilket kræver oplysning i din cookiepolitik og i mange tilfælde en databehandleraftale.

Trin 4: Klassificér cookies efter kategori

Tildel hver cookie en compliance-kategori:

  • Strengt nødvendige: Nødvendige for, at websitet kan fungere. Kan ikke deaktiveres af brugeren. Eksempler: sessionscookies, CSRF-tokens, load-balancing-cookies, cookies til cookie-samtykkepræferencer.
  • Funktionelle: Muliggør forbedret funktionalitet og personalisering. Eksempler: sprogpræferencer, regionsvalg, senest viste varer (når de ikke bruges til annoncering).
  • Analyse/ydeevne: Indsamler oplysninger om, hvordan besøgende bruger websitet. Eksempler: cookies fra Google Analytics, Hotjar, Matomo.
  • Markedsføring/annoncering: Sporer besøgende på tværs af websites til annonceringsformål. Eksempler: Facebook Pixel, Google Ads-cookies, retargeting-cookies, affiliate-trackingcookies.

Trin 5: Dokumentér formål, varighed og type

For hver cookie skal du dokumentere dens formål i et almindeligt sprog, som en ikke-teknisk person kan forstå, dens varighed (session eller vedvarende, og hvis vedvarende, hvor længe) og dens type (HTTP-cookie, localStorage osv.). Denne dokumentation danner grundlaget for din cookiepolitik og de oplysninger, der gives i dit cookiebanner.

Løbende overvågning

En cookie-scanning er kun gyldig i det øjeblik, den udføres. Dit website er ikke statisk — det udvikler sig med hvert deployment, hver plugin-opdatering og hver marketingkampagne. Løbende overvågning er afgørende, fordi:

  • Nye scripts introducerer nye cookies. Når en udvikler tilføjer et nyt analyseværktøj, et marketingteam installerer en ny trackingpixel, eller et plugin opdateres, kan nye cookies dukke op på dit website, uden at nogen udtrykkeligt har besluttet at tilføje dem.
  • Tredjepartsscripts ændrer sig. Selv hvis du ikke ændrer dit website, kan de tredjepartstjenester, du bruger, opdatere deres scripts og introducere nye cookies. En Google Analytics-opdatering, en ændring i en widget til sociale medier eller en opdatering af en CDN-konfiguration kan alle påvirke cookiene på dit website.
  • Compliance er kontinuerlig. Datatilsyn forventer, at din cookiepolitik og samtykkemekanisme afspejler dit websites aktuelle tilstand. En politik, der var nøjagtig for seks måneder siden, men ikke inkluderer cookies tilføjet siden da, er ikke compliant i dag.

Bedste praksis er at køre automatiserede scanninger efter hvert deployment og som minimum månedligt. Opsæt advarsler for nye cookies, så dit team kan vurdere, kategorisere og tilføje dem til din samtykkemekanisme, før de bliver et compliance-problem.

Cookie-scanning og din cookiepolitik

Din cookiepolitik og dine cookie-scanningsresultater skal holdes synkroniseret. Enhver cookie, der identificeres i en scanning, bør dokumenteres i din politik, og enhver cookie, der er anført i din politik, bør faktisk være til stede på dit website. En uoverensstemmelse i begge retninger er et problem:

  • Cookies på websitet, men ikke i politikken: Det betyder, at brugerne ikke er informeret om al tracking på dit website. Deres samtykke, selv hvis det er givet, dækker muligvis ikke uoplyste cookies.
  • Cookies i politikken, men ikke på websitet: Selvom det er mindre alvorligt, skaber det forvirring at anføre cookies, der ikke eksisterer, og det underminerer tilliden til nøjagtigheden af din dokumentation.

Den mest effektive tilgang er at integrere dit scanningsværktøj med din cookiepolitik, så politikken automatisk opdateres, når nye cookies registreres. Det eliminerer det manuelle trin med at opdatere politikken efter hver scanning og reducerer risikoen for, at de to kommer ud af synkronisering.

Sådan håndterer Passiro cookie-scanning

Passiros scanner bruger en headless browsermotor til at besøge hver side på dit website og eksekverer JavaScript præcis, som en rigtig besøgendes browser ville gøre. Det sikrer, at cookies sat af dynamisk indlæste scripts, indlejret indhold og single-page application-frameworks alle registreres. Scanneren kører før og efter simuleret samtykke for at verificere, at din samtykkehåndtering fungerer korrekt — at ikke-nødvendige cookies reelt blokeres, indtil samtykke gives.

Scanningsresultater kategoriseres automatisk ved hjælp af en løbende opdateret database over kendte cookies, med mulighed for manuelt at klassificere eller omklassificere enhver cookie. Planlagte scanninger kører på et konfigurerbart grundlag, og du modtager advarsler, når nye cookies dukker op på dit website, så du kan handle, før de bliver en compliance-risiko.

Hvor ofte bør du scanne?

Den rette scanningsfrekvens afhænger af, hvor ofte dit website ændrer sig:

  • Efter hvert deployment: Enhver kodeændring kan potentielt introducere nye cookies. Integrér cookie-scanning i din CI/CD-pipeline, eller kør en scanning efter hver release.
  • Efter tilføjelse af tredjepartstjenester: Når du tilføjer et nyt analyseværktøj, en marketingplatform, en chatwidget, en betalingsudbyder eller et hvilket som helst tredjepartsscript, skal du scanne med det samme.
  • Som minimum månedligt: Selv hvis du ikke foretager ændringer, kan tredjepartsscripts på dit website blive opdateret og introducere nye cookies. En månedlig scanning fanger disse ændringer.
  • Efter CMP-opdateringer: Hvis du opdaterer din platform til samtykkehåndtering eller ændrer dine cookiekategorier, skal du scanne for at verificere, at ændringerne fungerer som forventet.
  • Kvartalsvis gennemgang: Ud over automatiseret scanning bør du foretage en kvartalsvis manuel gennemgang af din cookieoversigt for at verificere, at kategoriseringerne stadig er nøjagtige, at tredjepartsudbyderne stadig er nødvendige, og at din cookiepolitik afspejler virkeligheden.

De organisationer, der behandler cookie-scanning som rutinemæssig vedligeholdelse frem for en periodisk audit, er dem, der opretholder kontinuerlig compliance — og undgår den ubehagelige overraskelse ved at opdage udokumenterede trackingcookies under en undersøgelse fra et datatilsyn.

Overholder din website cookiereglerne?

Scan din website gratis og find alle cookies på få minutter.

Scan dine cookies gratis