Sådan auditerer du dit website for cookies — DIY guide 2026

En cookie audit er ikke bare for store virksomheder med juridiske afdelinger. Hvis du driver et website — uanset størrelse — er du ansvarlig for at vide præcis, hvilke cookies der placeres på dine besøgendes enheder, hvad de bruges til, og om du har den nødvendige consent til at bruge dem.

Problemet er, at de fleste siteejere ikke har det fulde overblik. Tredjeparts scripts, plugins og embedded indhold sætter cookies i det stille, og pludselig bruger du cookies du aldrig har godkendt — og endnu vigtigere: som dine besøgende aldrig har fået mulighed for at fravælge.

Denne guide viser dig trin for trin, hvordan du laver en grundig cookie audit af dit website, selv uden et betalt scanningsværktøj.

Hvornår har du brug for en cookie audit?

Du har brug for en cookie audit, hvis:

• Dit website er tilgængeligt for brugere i EU, UK eller andre jurisdiktioner med cookielovgivning
• Du har tilføjet nye plugins, integrationer eller tredjeparts scripts siden din seneste gennemgang
• Din cookie policy er mere end 6 måneder gammel
• Du aldrig har lavet en systematisk gennemgang af dine cookies
• Du har modtaget en klage eller forespørgsel fra en tilsynsmyndighed
• Du planlægger at lancere kampagner med Google Ads eller Meta Ads

Under GDPR og ePrivacy-direktivet er du forpligtet til at have et komplet og opdateret overblik over alle cookies på dit site, kategorisere dem korrekt og kun sætte ikke-nødvendige cookies efter at have indhentet gyldigt samtykke. Det er ikke noget, du kan sætte op én gang og glemme. Websites ændrer sig, nye tredjeparts scripts tilføjes, og plugins opdateres.

En cookie audit er den systematiske proces, der holder dig compliant.

Trin 1: Kortlæg alle cookies med Chrome DevTools

Det første skridt er at få en komplet liste over alle cookies, dit website sætter. Chrome DevTools er det mest tilgængelige og kraftfulde gratis værktøj til dette formål.

Forberedelse: Opret et rent testmiljø

Inden du starter, skal du sikre dig, at du starter fra en ren tilstand:

1. Åbn et nyt inkognitovindue i Chrome (Ctrl+Shift+N / Cmd+Shift+N)
2. Gå til chrome://settings/clearBrowserData og ryd cookies, cache og site data
3. Alternativt: opret en ny midlertidig Chrome-profil udelukkende til audit-formål
4. Deaktiver alle browserudvidelser, da de kan interferere med resultaterne
5. Notér tidspunkt og dato for din audit — det er dokumentation

Grunden til dette er simpel: du vil se præcis hvad en ny besøgende oplever, første gang de lander på dit site — inden de har accepteret eller afvist noget.

Application tab: Se alle gemte cookies

1. Åbn dit website i Chrome
2. Tryk F12 (eller højreklik og vælg “Inspect”)
3. Klik på fanen Application i toppen af DevTools-panelet
4. I venstre sidepanel finder du Storage > Cookies
5. Klik på dit domæne under Cookies

Her ser du alle cookies, der aktuelt er gemt i browseren for dit domæne. For hver cookie kan du se:

• Name: Cookie-navn (f.eks. _ga, _fbp, wordpress_logged_in)
• Value: Den gemte værdi
• Domain: Hvilket domæne der ejer cookien (.google-analytics.com er en tredjeparts cookie)
• Expires / Max-Age: Udløbstidspunkt — lang udløbsdato er et tegn på tracking-cookies
• Size: Datastørrelse
• HttpOnly: Kan ikke tilgås via JavaScript (sikkerhedsfunktion)
• Secure: Sendes kun over HTTPS
• SameSite: Begrænsning for cross-site adfærd

Hvad du skal notere: Kopier alle cookie-navne til et regneark med domæne og udløbsdato.

Network tab: Find HTTP-only cookies og cookies fra tredjeparts requests

Application-tabben viser kun cookies, der allerede er sat. Network-tabben er langt mere informativ, fordi den fanger cookies i det øjeblik de sættes — herunder HttpOnly cookies, der ikke er synlige via JavaScript.

1. Gå til fanen Network i DevTools
2. Kryds af i Preserve log og Disable cache
3. Lad siden genindlæse fra bunden (Ctrl+R / Cmd+R)
4. Vent til siden er fuldt indlæst

Nu ser du alle netværksforespørgsler, der blev initieret under sideindlæsning. For at finde cookies specifikt:

1. Klik på filteret øverst og vælg All for at se alle request-typer
2. Brug søgefeltet til at filtrere på specifikke domæner (f.eks. google, facebook, hotjar)
3. Klik på en individuel request
4. Gå til fanen Headers i request-detailpanelet
5. Under Response Headers finder du Set-Cookie headers

Set-Cookie headers er det, du leder efter. Hver Set-Cookie header angiver en cookie, som serveren instruerer browseren om at gemme. Her finder du cookies, som ikke dukker op i Application-tabben, fordi de er markeret HttpOnly.

Særligt vigtigt: Se på cookies der sættes, inden du har interageret med consent-banneret. Disse cookies sættes uden samtykke — og det er potentielt en GDPR-overtrædelse, hvis de ikke er strengt nødvendige.

Gennemgang af alle sider

Husk, at din forside ikke er det eneste sted, cookies sættes. Gennemgå mindst:

• Forsiden
• En artikel eller produktside
• Kontaktformular-siden
• Evt. checkout-flow (hvis du har en webshop)
• Login-siden

Brug den samme metode for hver side og tilføj eventuelle nye cookies til din liste.

Trin 2: Kategoriser dine cookies

Når du har en komplet liste over alle cookies, skal du kategorisere dem. Dette er afgørende, fordi GDPR kræver, at du informerer brugerne om cookies opdelt i kategorier, og at du kun aktiverer ikke-nødvendige cookies efter samtykke.

De fire standardkategorier

Strengt nødvendige (Strictly Necessary) Disse cookies er essentielle for at websitet fungerer. De kræver ikke samtykke. Eksempler:

• Session-cookies til login (wordpress_logged_in_*)
• CSRF-tokens til formular-sikkerhed
• Indkøbskurv-cookies i webshops (woocommerce_cart_hash)
• Load balancer-cookies
• Selve cookie-consent-cookien fra din CMP

Funktionelle / Præference-cookies Husker brugervalg og præferencer. Kræver normalt samtykke. Eksempler:

• Sprogpræferencer
• Tema-valg
• Husket brugernavn (men ikke adgangskode)

Analytiske / Statistik-cookies Bruges til at forstå, hvordan besøgende bruger dit site. Kræver samtykke. Eksempler:

• _ga, _ga_* (Google Analytics 4)
• _hjSessionUser_* (Hotjar)
• _clck, _clsk (Microsoft Clarity)

Marketing / Reklame-cookies Bruges til målrettet annoncering og konverteringssporing. Kræver samtykke. Eksempler:

• _fbp, _fbc (Meta Pixel)
• _gcl_au (Google Ads)
• IDE, NID (Google DoubleClick)
• fr (Facebook)

1st party vs. 3rd party cookies

En cookie er 1st party, hvis den sættes under dit eget domæne (f.eks. mitwebsite.dk). En cookie er 3rd party, hvis den sættes under et andet domæne (f.eks. .facebook.com, .google-analytics.com).

Tredjepartscookies er generelt under stærkere reguleringsmæssigt pres. Google har gentagne gange annonceret udfasning af tredjeparts cookies i Chrome, selvom tidslinjen har skubbet sig. De fleste moderne tracking-løsninger er gået over til 1st party cookies sat via serverside tracking — men de kræver stadig samtykke, hvis de bruges til analytics eller marketing.

Praktisk råd: Kig på domænet i “Domain”-kolonnen i Application-tabben. Alle domæner der ikke er dit eget, er 3rd party. Lav en liste over alle unikke tredjeparts domæner — det er din liste over databehandlere, som bør fremgå af din privatlivspolitik.

Trin 3: Verificer at din cookie policy er komplet

Din cookie policy er det juridiske dokument, der beskriver dit brug af cookies. Under GDPR skal den indeholde specifik information for hver kategori af cookies. En mangelfuld cookie policy er en af de hyppigste årsager til GDPR-klager.

Checkliste for en komplet cookie policy

Gennemgå din eksisterende cookie policy mod denne liste:

• Hvad er cookies — kort, forståelig forklaring
• Hvilke kategorier af cookies bruger du (nødvendige, analytiske, marketing osv.)
• For hver cookie: navn, formål, leverandør, udløbstid og kategori
• Navngivne tredjeparts leverandører (Google, Meta, Hotjar osv.) med links til deres privatlivspolitikker
• Brugerens ret til at trække samtykke tilbage og fremgangsmåde herfor
• Oplysning om, at visse cookies ikke kræver samtykke (nødvendige)
• Kontaktoplysninger til den dataansvarlige
• Dato for seneste opdatering af policyen
• Oplysning om browser-indstillinger til sletning af cookies

Særlig opmærksomhed: Cookie-listen i din policy skal matche de cookies, du faktisk bruger. Hvis din audit afslører cookies, der ikke er dokumenteret i din policy, skal du enten dokumentere dem eller fjerne dem.

Trin 4: Test din consent banner

En consent banner, der ikke fungerer korrekt, er ikke blot ineffektiv — det er en direkte overtrædelse. Den vanligste fejl er, at banneret vises, men at scripts stadig kører, inden brugeren har givet samtykke.

Fungerer script-blokering?

Test dette systematisk:

1. Åbn dit website i et nyt inkognitovindue
2. Åbn DevTools og gå til Network-fanen
3. Aktiver Preserve log og Disable cache
4. Genindlæs siden
5. Inden du klikker på noget i consent-banneret, kig i Network-tabben

Hvad du leder efter: Ser du requests til Google Analytics (www.google-analytics.com), Facebook (connect.facebook.net), Hotjar (script.hotjar.com) eller andre tracking-domæner, inden du har accepteret? Det er et problem.

Strengt nødvendige ressourcer (CSS, billeder, dit eget JavaScript) vil typisk indlæses — det er forventet. Men ingen analytiske eller marketing-scripts må indlæses, inden brugeren har givet samtykke.

6. Klik nu på “Afvis alle” i consent-banneret
7. Naviger til en anden side på dit site
8. Tjek Network-tabben igen — tracking-scripts må fortsat ikke indlæses

Test med “Afvis alle”

“Afvis alle”-scenariet er det vigtigste at teste. Mange CMP-implementeringer er konfigureret til at blokere ved første besøg, men undlader at huske brugerens afvisning korrekt. Naviger rundt på sitet og verificer, at dine analytics ikke registrerer sidevisninger.

Kontroller consent-cookie

I Application-tabben bør du efter en afvisning se en cookie fra din CMP (f.eks. CookieConsent, complianz_consent_status, cookieyes-consent) med en værdi der afspejler afvisningen. Udløbsdatoen bør ikke overstige 12 måneder (og i visse jurisdiktioner, f.eks. Frankrig, anbefales 6 måneder).

Trin 5: Tjek Google Consent Mode v2

Google Consent Mode v2 er ikke valgfrit for websites, der bruger Google Analytics 4, Google Ads eller Google Tag Manager med EU-trafik. Det er obligatorisk og har været håndhævet siden marts 2024.

Consent Mode v2 introducerede fire consent-signaler, som dit CMP skal sende til Google:

• analytics_storage — tilladelse til analytics-cookies
• ad_storage — tilladelse til reklame-cookies
• ad_user_data — tilladelse til at sende brugerdata til Google Ads
• ad_personalization — tilladelse til personaliserede annoncer

De to nye signaler (ad_user_data og ad_personalization) er det, der adskiller v2 fra v1. Begge skal sættes til denied som standard, medmindre brugeren aktivt har accepteret.

Sådan tester du Consent Mode v2

Den enkleste metode er at bruge Google Tag Assistants Chrome-udvidelse:

1. Installer Tag Assistant Companion fra Chrome Web Store
2. Besøg dit website i en frisk session (inkognitovindue)
3. Åbn Tag Assistant og se på consent-statusvisningen
4. Tjek at alle fire signaler starter som denied
5. Accepter samtykke og tjek at signalerne opdateres til granted i overensstemmelse med brugerens valg

Alternativt kan du i Network-tabben i DevTools søge efter requests til www.google-analytics.com og se på parameteret gcs i URL’en — det indeholder en encodet consent-status.

Hvis du bruger et WordPress cookie-plugin, skal du verificere, at det eksplicit understøtter Google Consent Mode v2 med alle fire signaler.

Trin 6: Gentag regelmæssigt

En cookie audit er ikke en engangsopgave. Websites udvikler sig konstant, og din compliance-status kan ændre sig, uden at du er klar over det.

Hvornår skal du lave en ny audit?

Minimum én gang i kvartalet for de fleste websites. Hyppigere hvis du:

• Tilføjer nye plugins eller tredjeparts integrationer
• Opdaterer eksisterende plugins (opdateringer kan tilføje nye cookies)
• Lancerer nye marketingkampagner med nye tracking-pixels
• Skifter til en ny tema eller sidebygger
• Opdaterer dit theme eller core CMS

Lav en intern procedure: notér datoen for din seneste audit, og sæt en kalenderreminder for næste gennemgang.

Hold din cookie-dokumentation opdateret

Enhver ændring i dine cookies skal afspejles i:

1. Din cookie policy (opdateret dato)
2. Din consent-banners kategoriliste
3. Din fortegnelse over behandlingsaktiviteter (artikel 30 under GDPR)

DIY vs. professionel scanner: Hvornår er Privaci.io det rigtige valg?

Den manuelle metode beskrevet i denne guide giver dig et solidt grundlag og en god forståelse for, hvad der sker på dit website. Men den har begrænsninger.

Begrænsninger ved den manuelle metode:

• Du tester kun de sider, du manuelt besøger
• Du kan nemt overse cookies, der kun sættes under specifikke betingelser (efter login, ved checkout, ved scroll-trigger)
• Den er tidskrævende og svær at skalere på sites med mange sider
• Du kan ikke automatisk holde dokumentationen opdateret
• Du opdager ikke nye cookies, der tilføjes af opdaterede tredjeparts scripts

Privaci.io by bon.do løser disse udfordringer med automatiseret scanning:

• Crawl af alle sider, ikke kun forsiden
• Kontinuerlig overvågning der opdager nye cookies automatisk
• Automatisk kategorisering baseret på en opdateret cookies-database
• Dokumentation der er klar til brug i din cookie policy
• Advarsler når nye cookies opdages på dit site
• Historisk sammenligning så du kan se, hvad der har ændret sig

Den manuelle metode er ideel til at lære, hvad der sker på dit site, og til at verificere at din CMP-implementering fungerer korrekt. En automatiseret scanner som Privaci.io er den rigtige løsning til løbende overvågning og dokumentation.

Kombiner de to: brug denne guide til at forstå og teste din implementation, og brug Privaci.io til den løbende overvågning der sikrer, at du opdager nye cookies, inden de bliver et compliance-problem.

Gratis cookie audit checkliste

Brug denne checkliste som dokumentation for din audit. Gem den og opdater den ved hver gennemgang.

Forberedelse

• Frisk browserprofil eller inkognitovindue
• DevTools åbnet
• Preserve log aktiveret
• Disable cache aktiveret
• Dato og tidspunkt noteret

Kortlægning

• Application tab: alle cookies listet med navn, domæne, udløb
• Network tab: alle Set-Cookie headers gennemgået
• Alle sidetyper testet (forside, artikler, kontakt, checkout)
• Tredjeparts domæner identificeret og listet

Kategorisering

• Alle cookies kategoriseret (nødvendig/funktionel/analytisk/marketing)
• 1st vs. 3rd party status noteret for alle cookies
• Cookies uden klar kategori undersøgt yderligere

Cookie policy

• Alle identificerede cookies fremgår af cookie policy
• Alle tredjeparts leverandører er navngivet
• Dato for seneste opdatering er korrekt
• Tilbagetrækningsinstruktioner er tydelige

Consent banner

• Scripts blokeres korrekt inden samtykke
• “Afvis alle” virker og huskes på tværs af sider
• Consent-cookie sættes korrekt med korrekt udløbsdato
• Samtykke kan nemt trækkes tilbage

Google Consent Mode v2

• Alle fire signaler implementeret (analytics_storage, ad_storage, ad_user_data, ad_personalization)
• Standard-tilstand er “denied” for alle fire signaler
• Signaler opdateres korrekt efter brugervalg
• Testet med Tag Assistant

Dokumentation

• Dato for audit noteret
• Ændringer siden sidst dokumenteret
• Næste audit-dato sat i kalender

Vil du springe de manuelle trin over og automatisere hele processen? Prøv Privaci.io gratis og få en komplet cookie audit af dit website på under 5 minutter.

FAQ

Hvad er en cookie audit, og hvornår har jeg brug for den?

En cookie audit er en systematisk kortlægning af alle cookies og sporings-teknologier på din hjemmeside. Du har brug for den, når du opsætter en ny hjemmeside, introducerer nye integrationer, oplever compliance-problemer, eller som løbende vedligeholdelse minimum én gang i kvartalet.

Kan jeg lave en cookie audit selv med gratis værktøjer?

Ja, men med begrænsninger. Gratis browserudvidelser og simple scanners kan opdage de mest åbenlyse cookies, men misser HTTP-only cookies, CNAME-cloakede trackere og localStorage. En professionel scanner som Privaci giver et komplet billede.

Hvad er forskellen på en manuel og automatiseret cookie audit?

En manuel audit er tidskrævende og afhænger af, at du besøger alle relevante sider og brugerflows. En automatiseret audit scanner systematisk hele hjemmesiden inkl. dynamisk indhold og registrerer cookies på netværksniveau, hvilket er langt mere komplet.

Hvor mange undersider skal jeg inkludere i en cookie audit?

Som minimum: forsiden, en produktside, en checkout-side, og en blog- eller indholdsside. Forskellige sider kan indlæse forskellige scripts. En komplet audit bør dække alle unikt template-typer på din hjemmeside.

Hvad gør jeg med cookies, jeg ikke kender?

Søg på cookie-navnet og -domænet for at identificere leverandøren. Tjek din CMP’s vendor list. Kontakt din webudvikler for at identificere kilden. Hvis du ikke kan identificere formålet, skal cookien blokeres indtil du kan dokumentere dens legitimitet.

Hvad bør jeg dokumentere under en cookie audit?

Dokumentér: cookie-navn, domæne, levetid, formål, juridisk grundlag, leverandør, og hvornår den sættes. Dokumentationen er vigtig for din cookiepolitik og for at kunne bevise compliance overfor Datatilsynet.