Cookie Compliance Guide 2026: Alt du skal vide om cookies og GDPR

Den mest komplette og opdaterede guide til cookie compliance for danske og europæiske virksomheder. Sidst opdateret marts 2026.

Hvad koster det at have forkerte cookie-indstillinger? Spørg TikTok, der modtog en bøde på 530 millioner euro i 2025. Spørg SHEIN, der fik 150 millioner for vildledende cookie-banners. Spørg Google, der to gange er blevet straffet for ikke at give brugerne et reelt valg.

Cookie compliance er ikke et nicheemne for jurister. Det er et forretningskritisk område, der direkte påvirker din risiko, din revenue og din relation til brugerne. Alligevel er langt de fleste websites i 2026 stadig non-compliant — enten fordi de bruger forældet information, fordi de stoler blindt på en scanner der ikke finder alt, eller fordi de simpelthen aldrig har taget det seriøst.

Denne guide giver dig det komplette billede: lovgivningen, teknologien, kravene og praksis. Ingen salgssnak, ingen forenklinger — kun det du faktisk behøver at vide.

Indholdsfortegnelse

1. Den juridiske ramme i 2026
   • GDPR og cookies
   • ePrivacy-direktivet (det gældende)
   • ePrivacy-forordningen: Forslag trukket tilbage
   • EU Digital Omnibus-pakken: Hvad er på vej?
   • Cookie-bekendtgørelsen i Danmark
   • CCPA/CPRA — USA-krav
   • Andre nationale love
2. Hvad er cookies og beslægtede teknologier?
   • Teknisk forklaring
   • 1st party vs 3rd party cookies
   • Session vs persistent cookies
   • HTTP-only og Secure cookies
3. De fem cookie-kategorier
   • Strengt nødvendige
   • Funktionelle / præference
   • Statistik og analyse
   • Marketing og tracking
   • Uklassificerede cookies
4. Alle tracking-teknologier du skal dokumentere
5. Samtykke-krav i detaljer
   • Hvad kræver samtykke?
   • Forudgående samtykke (prior consent)
   • Granulært samtykke
   • Tilbagetrækning af samtykke
   • Samtykke-dokumentation
   • Børns samtykke
6. Cookie banner-krav
   • Hvad banneret skal indeholde
   • Design-krav og dark patterns
   • Afvis-knap som krav
   • Sprog-krav
   • Cookie walls: Lovligt eller ej?
7. Cookie policy-krav
   • Hvad der skal dokumenteres per cookie
   • Opdateringspligt
   • Placering og tilgængelighed
8. Teknisk implementation
   • Script blocking
   • Google Consent Mode v2
   • IAB TCF — fra 2.2 til 2.3
   • Server-side tracking under GDPR
9. Scanning og audit af dit website
10. Bøder og enforcement
    • Største GDPR cookie-bøder
    • Datatilsynet og Danmark
    • Enforcement-tendenser i 2026
11. Den komplette cookie compliance-checkliste
12. Konklusion

1. Den juridiske ramme i 2026

Cookie-reglerne i Europa er ikke et enkelt regelsæt — de er et samspil mellem flere direktiver, forordninger og nationale implementeringer. At forstå dette samspil er nødvendigt for at forstå, hvad der faktisk er krævet af dig.

GDPR og cookies

General Data Protection Regulation (GDPR — Forordning EU 2016/679) regulerer ikke cookies direkte, men den regulerer behandlingen af personoplysninger. Da cookies i de fleste tilfælde indsamler eller genererer personoplysninger — IP-adresser, enhedsidentifikatorer, adfærdsdata — er GDPR næsten altid relevant, når du bruger cookies.

De centrale GDPR-bestemmelser i cookie-sammenhæng er:

• Artikel 5: Dataminimeringsprincippet, formålsbegrænsning og integritet
• Artikel 6: Retsgrundlag for behandling. For ikke-nødvendige cookies er samtykke (art. 6(1)(a)) det eneste reelle retsgrundlag — berettiget interesse (art. 6(1)(f)) er ikke tilstrækkeligt for tracking til markedsformål
• Artikel 7: Betingelser for samtykke — frivilligt, specifikt, informeret og utvetydigt
• Artikel 13-14: Informationspligten — hvad den registrerede skal informeres om
• Artikel 17: Retten til sletning, herunder sletning af cookie-data

GDPR gælder for alle virksomheder der behandler personoplysninger om personer i EU/EØS, uanset om virksomheden selv er etableret i EU. Det gælder altså også for en amerikansk webshop der sælger til danske kunder.

Bøder efter GDPR kan udgøre op til 20 millioner euro eller 4 procent af den globale årsomsætning — det højeste af de to.

ePrivacy-direktivet (det gaeldende)

ePrivacy-direktivet (2002/58/EF, ændret ved 2009/136/EF) er den gældende EU-lovgivning der specifikt regulerer cookies og tilsvarende teknologier. Det er et direktiv, ikke en forordning, og er implementeret forskelligt i EU’s medlemslande.

Den centrale bestemmelse er artikel 5, stk. 3, som kræver:

1. At brugeren gives klar og forståelig information om, hvilke oplysninger der lagres
2. At brugeren gives klar og forståelig information om formålene med behandlingen
3. At brugeren gives mulighed for at afvise lagringen eller adgangen
4. Og at samtykke indhentes, inden cookies placeres (undtagen teknisk nødvendige)

Direktivet er teknologineutralt — det gælder ikke kun cookies, men alle teknologier der lagrer eller tilgår information på brugerens udstyr. Det inkluderer localStorage, fingerprinting og tracking pixels.

Bøder efter ePrivacy-direktivet varierer mellem landene, da det er nationale implementeringer. I Frankrig er CNIL’s maksimalbøde 150.000 euro (for enkeltpersoner) og 375.000 euro (for juridiske enheder) — men i praksis er bøderne givet med henvisning til GDPR, da de to regelsæt gælder parallelt.

ePrivacy-forordningen: Forslag trukket tilbage

Et af de vigtigste nyheder for cookie compliance i 2025-2026: ePrivacy-forordningsforslaget er officielt trukket tilbage af Europa-Kommissionen i februar 2025.

Baggrund: Kommissionen fremsatte i 2017 et forslag til en ny ePrivacy-forordning, der skulle erstatte direktivet og skabe et ensartet regelsæt på tværs af EU. Forslaget mødte massiv politisk modstand — fra teleselskaber, tech-industrien og en række medlemslande — og havnede i årelange stilstandsforhandlinger.

Hvad det betyder for dig: ePrivacy-direktivet fra 2002 (som ændret i 2009) forbliver gældende lovgivning. Ingen ny “ePrivacy-forordning” er på vej som erstatning. Reglerne ændres ikke brat som følge af et nyt regelsæt.

Hvad der i stedet er kommet er Digital Omnibus-pakken.

EU Digital Omnibus-pakken: Hvad er paa vej?

Europa-Kommissionen fremlagde den 19. november 2025 det såkaldte “Digital Omnibus”-forslag — et forsøg på at forenkle og modernisere EU’s digitale lovgivning, herunder GDPR og cookie-reglerne.

De vigtigste foreslåede ændringer for cookies:

1. Cookie-regler flyttes til GDPR: Bestemmelserne om cookies og sporingsteknologier foreslås overflyttet fra ePrivacy-direktivet til GDPR (som ny artikel 88a), hvilket ville skabe et samlet regelsæt.

2. “Et-klik”-afvisning: Brugere skal kunne afvise ikke-nødvendige cookies med ét enkelt klik — svarende til accept.

3. Samtykke-cappe på 6 måneder: Hvis en bruger afviser samtykke, må du ikke bede om samtykke til samme formål igen i mindst 6 måneder.

4. Lavrisiko-undtagelser: Nye undtagelser fra samtykkekravet for bestemte “lavrisiko”-formål — for eksempel sikkerhedsformål.

5. Browserbaserede samtykke-signaler: Krav om at systemer kan modtage og respektere maskinlæsbare samtykke-præferencer (som Global Privacy Control).

6. Mediebranchen: Særlige regler for store medievirksomheder, som anerkender reklameindtægters rolle for mediepluralisme.

Status marts 2026: Digital Omnibus er stadig et forslag der forhandles politisk i Rådet og Parlamentet. Det er ikke vedtaget og gælder ikke endnu. Forslaget møder modstand fra privatlivsorganisationer, der frygter det svækker brugerbeskyttelsen, og fra dele af industrien, der finder forslagene utilstrækkelige.

Praktisk konsekvens: Arbejd med de gældende regler nu. Hold øje med den politiske proces, men lad ikke “det er ved at ændre sig” være en undskyldning for non-compliance i dag.

Cookie-bekendtgorelsen i Danmark

Danmark har implementeret ePrivacy-direktivets artikel 5, stk. 3 via Bekendtgørelse om krav til anvendelse af informationssamfundstjenester nr. 1148 af 9. december 2011 — populært kaldet “cookiebekendtgørelsen”.

Bekendtgørelsen håndhæves af Digitaliseringsstyrelsen (tidligere Erhvervsstyrelsen), mens behandlingen af de personoplysninger der indsamles via cookies reguleres af GDPR og håndhæves af Datatilsynet.

Vigtig opdatering fra maj 2025: Datatilsynet og Digitaliseringsstyrelsen udgav en ny fælles vejledning: “Brug af cookies og lignende teknologier”. Det er den mest konkrete og opdaterede danske fortolkning af kravene.

Vejledningens centrale budskaber:

• Begge regelsæt — cookiebekendtgørelsen og GDPR — gælder sideløbende, og du skal overholde begge
• Reglerne er teknologineutrale: Pixels, web beacons, SDK’er og fingerprinting er alle omfattet
• Strengt nødvendige teknologier er undtaget samtykkekravet (log-in, indkøbskurv, load balancing osv.)
• Tilbagetrækning af samtykke skal være lige så nemt som at give det
• Mange virksomheder er i risiko for fælles dataansvar med tredjepartsleverandører (sociale medier, analyseproviders)

Digitaliseringsstyrelsen håndhæver cookie-bekendtgørelsen ved tilsyn. Overtrædelser kan føre til påbud og i sidste ende politianmeldelse. Datatilsynet håndhæver GDPR-delen og kan udstede bøder.

Hvem er Datatilsynets fokusområde i 2026: Datatilsynet deltager i EDPB’s koordinerede håndhævelsesindsats for 2026, som fokuserer på transparens og information — herunder, om brugere reelt informeres korrekt om cookies og databehandling.

CCPA/CPRA — USA-krav

Har du besøgende fra Californien, gælder California Consumer Privacy Act (CCPA) og dens opdatering California Privacy Rights Act (CPRA) for dig, forudsat at din virksomhed overskrider visse tærskler (omsætning over 25 millioner dollars, data på 100.000+ californiere, eller over halvdelen af omsætningen fra salg af persondata).

Grundlæggende forskel fra GDPR: CCPA/CPRA følger et opt-out-model, mens GDPR kræver opt-in. Det betyder, at du kan sætte cookies som udgangspunkt — men du skal give brugerne et tydeligt og tilgængeligt valg om at sige nej til “salg eller deling” af deres data.

Nye krav fra januar 2026:

• Opt-out-bekræftelse er nu obligatorisk: Når en bruger har frabedt sig tracking, skal du vise en synlig bekræftelse — f.eks. en “Opt-Out Request Honored”-meddelelse eller en toggle der viser status
• Forstærket ret til indsigt: Brugere kan nu anmode om historiske data tilbage til januar 2022
• Automatisk behandling (ADMT): Nye regler kræver forhåndsvarsel og opt-out-mulighed, inden persondata bruges i algoritmiske beslutningsprocesser
• Global Privacy Control (GPC): Browser-signalet om opt-out skal respekteres som en gyldig anmodning

Praktisk: Har din virksomhed globale besøgende, er det enkleste at implementere et enkelt system der kan håndtere både GDPR opt-in og CCPA opt-out baseret på brugerens geografiske placering.

Andre nationale love

Frankrig (CNIL): En af de mest aktive håndhævende myndigheder i Europa. CNIL’s guidelines fra 2022 fastslog kravet om en synlig “Afvis alt”-knap direkte i cookie-banneret — ikke gemt i indstillingsmenuer. Frankrig har udstedt bøder til Google (150 millioner euro), Facebook (60 millioner euro), Microsoft (60 millioner euro) og Amazon (35 millioner euro) specifikt for cookie-relaterede overtrædelser.

Belgien (APD/GBA): Belgiens tilsynsmyndighed erklærede i 2022 IAB Europe’s Transparency & Consent Framework (TCF) for stridende med GDPR. APD stillede krav til IAB Europe om at reformere TCF, hvilket bidrog til udviklingen af TCF v2.2 og nu v2.3.

Holland (AP): Aktiv håndhæver med fokus på data-deling med tredjeparter og cookie walls.

Sverige (IMY): Har truffet afgørelser om, at Google Analytics 4 — selv med IP-anonymisering — under visse omstændigheder ikke kan bruges uden risiko for GDPR-overtrædelse.

Norge (Datatilsynet): Strammede cookie-samtykkekravene i januar 2025 og følger EU-linjerne tæt.

2. Hvad er cookies og beslagtede teknologier?

Teknisk forklaring

En cookie er en lille datafil — typisk mellem nogle få bytes og 4 KB — der lagres i brugerens browser, når de besøger et website. Cookies sættes via HTTP-svar-headeren Set-Cookie fra serveren, eller via JavaScript med document.cookie på klientsiden.

Rent teknisk indeholder en cookie:

• Navn: Cookie-identifikatoren (f.eks. _ga, _fbp)
• Værdi: Den lagrede information (f.eks. et unikt bruger-ID)
• Domain: Hvilket domæne cookien tilhører
• Path: Hvilken sti på domænet cookien gælder for
• Expires/Max-Age: Udløbsdato eller levetid
• Secure: Om cookien kun sendes over HTTPS
• HttpOnly: Om JavaScript kan tilgå cookien
• SameSite: Regler for cross-site afsendelse

1st party vs 3rd party cookies

Førstepartscookies sættes af det domæne brugeren besøger. Eksempel: Du besøger webshop.dk, og webshop.dk sætter en cookie. Disse bruges typisk til login-sessions, indkøbskurv og grundlæggende analyser.

Tredjepartscookies sættes af et andet domæne end det besøgte. Eksempel: Du besøger webshop.dk, men en cookie sættes fra doubleclick.net (Google’s annoncenetværk). Disse bruges primært til cross-site tracking og målrettet annoncering.

En vigtig nuance: Tredjepartscookies er under pres. Safari og Firefox blokerer dem som udgangspunkt. Chrome har udskudt deprecation, men fremtiden peger entydigt i retning af et web uden tredjepartscookies. Se mere om dette i vores artikel om tredjepartscookies og CNAME cloaking.

Session vs persistent cookies

Sessionscookies slettes, når brugeren lukker browseren. De indeholder typisk Max-Age=0 eller ingen udløbsdato. Bruges til login-sessions, formsikkerhed (CSRF-tokens) og midlertidigt indhold.

Persistente cookies overlever browserlukning og har en konkret udløbsdato — fra dage til år frem. Analyticscookies som _ga (Google Analytics) sættes typisk til 2 år. Login-cookies på “husk mig”-funktioner kan have lignende levetider.

GDPR-relevans: Cookiens levetid skal stå i et rimeligt forhold til formålet. En analytics-cookie der identificerer brugeren i to år kræver solid begrundelse.

HTTP-only og Secure cookies

HttpOnly-cookies er markeret med HttpOnly-flaget og kan ikke tilgås via JavaScript (document.cookie). De kan kun læses og skrives via HTTP-headers fra serveren. Formålet er sikkerhed: de beskytter mod XSS-angreb (Cross-Site Scripting), der ellers ville kunne stjæle session-tokens.

Det kritiske GDPR-problem: Fordi document.cookie ikke kan se HttpOnly-cookies, opdager de fleste cookie-scannere dem ikke. Din scanner rapporterer kun de cookies den finder via JavaScript-interfacet — men HttpOnly-cookies er der stadig, og de kan stadig behandle personoplysninger. GDPR og cookie-bekendtgørelsen kræver, at alle cookies er dokumenteret og lovliggjort.

Eksempler på HttpOnly-cookies mange ikke dokumenterer:

• __cf_bm (Cloudflare bot-management)
• AWSALB, AWSALBCORS (AWS load balancing)
• JSESSIONID (Java-applikationsservere)
• .AspNetCore.Session (Microsoft .NET)
• PHPSESSID (PHP, når sat med HttpOnly)

Læs vores uddybende artikel om HTTP-only cookies og den skjulte GDPR-risiko.

Secure-cookies sendes kun over HTTPS. Det er god praksis for alle session-cookies og et krav for cookies der indeholder personoplysninger. Det reducerer risikoen for man-in-the-middle-angreb.

3. De fem cookie-kategorier

Det er standarden i EU at inddele cookies i kategorier, så brugere kan give granulært samtykke. De fleste CMPs (Consent Management Platforms) bruger fire eller fem kategorier. Her er den gængse inddeling med konkrete eksempler.

Strengt nodvendige

Hvad de er: Cookies der er absolut nødvendige for, at en tjeneste kan fungere som anmodet af brugeren. Uden disse cookies kan websitet ikke levere den service, brugeren aktivt søger.

Kræver de samtykke? Nej — disse er undtaget fra samtykkekravet efter ePrivacy-direktivets artikel 5, stk. 3 og cookiebekendtgørelsen. Du behøver ikke bede om samtykke, men du skal stadig informere om dem.

Vigtigt forbehold: “Teknisk nødvendig” er et snævert begreb. Det er ikke det samme som “praktisk nyttig” eller “ønskelig for virksomheden”. En session-cookie til log-in er nødvendig. En analytics-cookie der sporer brugeradfærd for at forbedre produktet er det ikke.

Typiske eksempler:

Gråzone-eksempler der IKKE er nødvendige:

• Cookies der sporer hvilke produkter en bruger har kigget på (analytics)
• Cookies der husker brugerpræferencer til markedsformål
• A/B test-cookies der inddeler brugere i grupper til optimeringsformål
• Performance-cookies der måler sidens indlæsningstid ud fra brugeridentitet

Funktionelle / praeference

Hvad de er: Cookies der forbedrer brugerens oplevelse ved at huske valg og præferencer, men som ikke er strengt nødvendige for tjenestens grundfunktionalitet.

Kræver de samtykke? Ja. Selvom de primært gavner brugeren, kræver de samtykke, medmindre brugeren aktivt har anmodet om den pågældende funktion.

Typiske eksempler:

• Husket log-in (“Husk mig”-funktion)
• Foretrukket skriftstørrelse eller tema
• Husket formularudfyldning
• Chat-widget-historik
• Videoafspillerindstillinger
• Gemte søgefiltre

Statistik og analyse

Hvad de er: Cookies der indsamler information om, hvordan besøgende bruger websitet. Data bruges til at forbedre indhold og brugeroplevelse.

Kræver de samtykke? Som udgangspunkt ja. Der er dog en vigtig nuance:

Google Analytics 4 (GA4) med anonymisering: EDPB og flere nationale tilsynsmyndigheder har konkluderet, at GA4-data der sendes til Googles servere i USA ikke automatisk er lovlige, selv med IP-anonymisering — fordi Google kan modtage og potentielt koble identifierbar information. Se vores artikel om GA4 og GDPR for en dybdegående gennemgang.

Privacy-first alternativer som Matomo (self-hosted): Kan i visse konfigurationer betragtes som samtykkefri, fordi data ikke forlader din egen server og ikke kobles til identitet.

Typiske eksempler:

Marketing og tracking

Hvad de er: Cookies der bruges til at vise brugere målrettede annoncer baseret på deres adfærd på tværs af websites. De sporer brugere på tværs af domæner og bruges til retargeting, konverteringssporing og annonce-attribution.

Kræver de samtykke? Ja, altid. Disse cookies behandler personoplysninger med det eksplicitte formål at profilere og målrette brugere. Samtykke er det eneste lovlige retsgrundlag — berettiget interesse er ikke tilstrækkeligt.

Typiske eksempler:

Uklassificerede cookies

Hvad de er: Cookies der er fundet på websitet, men endnu ikke er identificeret og kategoriseret. Disse bør behandles som marketing-cookies (strammeste krav) indtil de er korrekt klassificeret.

Et typisk website-audit afslører 5-20 procent uklassificerede cookies — tredjepartsscripts der sætter cookies uden at det er dokumenteret, forældede integrationer der stadig kører, eller platformsopdateringer der introducerer nye cookies uden varsel.

Handling: Kør regelmæssige scans og klassificer alle fund. En uklassificeret cookie er en compliance-risiko.

4. Alle tracking-teknologier du skal dokumentere

Det er en udbredt misforståelse at cookie compliance kun handler om HTTP-cookies. ePrivacy-direktivets artikel 5, stk. 3 og den danske cookiebekendtgørelse gælder alle teknologier der lagrer eller tilgår information på brugerens udstyr — ikke kun cookies.

Her er de teknologier du skal have styr på:

HTTP cookies

Det klassiske. Cookies overføres via HTTP-headers, lagres i browseren og sendes automatisk med i fremtidige requests. Opdages af de fleste scannere via document.cookie og Set-Cookie headers. Men: HttpOnly-cookies ses ikke af JavaScript-baserede scannere. Se afsnit 2.4.

localStorage og sessionStorage

Web Storage API’et giver JavaScript adgang til at lagre nøgle-værdi-par i browseren. localStorage er persistent og deler ikke data med serveren automatisk. sessionStorage slettes ved sessionslukning.

Mange tracking-biblioteker bruger localStorage som supplement til eller erstatning for cookies. Eksempler:

• Klaviyo gemmer e-mail-marketing-identifikatorer i localStorage
• Visse A/B test-løsninger gemmer testgrupper
• Chat-tools som Intercom gemmer bruger-ID’er

GDPR-relevans: localStorage er fuldt ud omfattet af samtykkekravet, når det bruges til tracking eller personidentifikation.

IndexedDB

En mere avanceret browser-database der kan gemme store mængder strukturerede data. Bruges primært i progressive web apps, men også af visse annonceteknologier som Facebook’s SDK til at gemme brugerdata.

Tracking pixels og web beacons

En tracking pixel er typisk et 1x1 pixel billede embeddet på en side, der sender en HTTP-request til en tredjeparts server i det øjeblik siden indlæses. Serveren modtager herved brugerens IP-adresse, browser, tidspunkt og den URL de befinder sig på.

Eksempler:

• Meta Pixel (Facebook)
• Google Tag Manager
• Email-tracking pixels (afslører om en e-mail er åbnet)
• Affiliate-tracking pixels

Pixels er fuldt ud underlagt samtykkekravet, når de indsamler personoplysninger — og det gør de næsten altid.

Browser fingerprinting

Browser fingerprinting identificerer en bruger ved at kombinere mange forskellige egenskaber ved deres browser og enhed — uden at gemme noget i browseren. En komplet fingerprint kombinerer typisk:

• Browser og version
• Operativsystem
• Installerede fonte
• Skærmopløsning og farvedybde
• Tidszone og sprog
• Canvas-rendering (canvas fingerprinting)
• WebGL-renderer
• AudioContext-karakteristika
• TCP/IP-egenskaber

Den resulterende fingerprint er i praksis unik for op til 90 procent af brugere og kan bruges til tracking selv efter at brugeren har slettet alle cookies.

GDPR-status: EU-Domstolen og EDPB er klare: Browser fingerprinting er en form for unik identifikation der udgør behandling af personoplysninger og kræver samtykke. CNIL’s guidelines præciserer dette yderligere.

Læs vores tekniske dybdedyk i Browser fingerprinting og GDPR.

ETags

ETags er HTTP-cache-valideringstokens der bruges til at afgøre om en browsers cached version af en fil stadig er aktuel. Men de kan misbruges til tracking: En unik ETag-værdi for hver bruger giver en vedvarende identifikator der overlever cookie-sletning.

ETags-baseret tracking er sjælden i dag, men forekommer.

CNAME cloaking

CNAME cloaking er en teknik hvor en tredjeparts tracker maskerer sig som et førstepartsdomæne via DNS. Eksempel: analytics.dinside.dk peger via CNAME-record på data.thirdparty.com. Fra browserens perspektiv ser det ud som en førstepartsforbindelse, men data ender hos tredjeparten.

Formålet er typisk at omgå browser-blokeringer af tredjepartscookies og tracking-blockers. Safari og Firefox har eksplicit udtalt sig imod CNAME cloaking som en måde at omgå ITP (Intelligent Tracking Prevention) på.

GDPR-relevans: CNAME cloaking ændrer ikke det juridiske retsgrundlag for behandlingen. Tredjepartsbehandleren er stadig en tredjepart, og de samme samtykkekrav gælder. Derudover er der et transparensproblem: brugere kan ikke se det reelle dataflow.

Læs vores detaljerede analyse af CNAME cloaking og GDPR.

Canvas fingerprinting

En specifik form for fingerprinting der bruger HTML5 Canvas API til at tegne grafik og måle pixel-forskelle i renderingen — som varierer baseret på GPU, driver og OS. Resultatet er en meget stabil og unik identifikator.

Canvas fingerprinting er af privacy-organisationen EFF og EDPB eksplicit nævnt som en tracking-teknologi der kræver samtykke.

External fonts (Google Fonts, Adobe Fonts)

Ekstern indlæsning af fonte via tjenester som Google Fonts (fonts.googleapis.com) indebærer at brugerens IP-adresse sendes til Google eller Adobe’s servere. En tysk domstol fastslog i 2022 at dette udgør en ulovlig dataoverførsel til tredjeland (USA) uden samtykke.

Løsning: Host skrifttyper lokalt på din egen server. Det er teknisk enkelt og fjerner risikoen.

Embedded content (YouTube, Google Maps, sociale medier)

Når du embedder en YouTube-video, et Google Maps-kort eller en Facebook Like-knap direkte på din side, sættes der typisk cookies fra disse tjenester i det øjeblik siden indlæses — uanset om brugeren interagerer med indholdet.

Det kræver samtykke. De mest udbredte løsninger:

1. Samtykke-forsinket indlæsning: Vis en placeholder der loader indholdet først efter samtykke er givet
2. Privacy Enhancer: Brug Youtube’s youtube-nocookie.com domæne i stedet for youtube.com
3. Alternativ: Self-hosted video

5. Samtykke-krav i detaljer

Hvad kraever samtykke?

Tommelfingerreglen er enkel: Alle cookies og tracking-teknologier der ikke er strengt nødvendige for den service brugeren aktivt har anmodet om, kræver forudgående samtykke.

Det kræver samtykke:

• Analytics-cookies (herunder Google Analytics)
• Marketing og retargeting-cookies
• A/B test-cookies (medmindre rent teknisk nødvendige)
• Sociale medier-plugins der tracker brugeren
• Embedded tredjepartsindhold med tracking
• Browser fingerprinting til identifikationsformål
• Chat-tools der gemmer bruger-ID’er til targeting
• Affiliate-tracking

Det kræver IKKE samtykke (men kræver information):

• Session-cookies til login og sikkerhed
• Indkøbskurv-cookies
• Load balancing-cookies
• CSRF-beskyttelsescookies
• Cookie der gemmer brugerens eget samtykkevalg

Forudgaaende samtykke (prior consent)

Ordet “forudgående” er centralt. Cookies der kræver samtykke, må ikke sættes inden samtykke er givet. Det er en af de mest udbredte overtrædelser: Scripts der loader i sidehovedet uanset samtykke-status, pixels der affyres ved sideindlæsning, og cookies der sættes af reklamesystemer der starter, inden CMP’en har vist sig til brugeren.

Konsekvens: Et Google Analytics-script der starter i <head> uden script blocking, sender data til Google, inden brugeren overhovedet har set cookie-banneret. Det er en overtrædelse.

Granulart samtykke

Samtykke skal være granulært — brugeren skal kunne acceptere eller afvise cookies per kategori. Det er ikke tilstrækkeligt at tilbyde “accepter alle” som eneste mulighed, eller at kategorier er forudvalgte som aktive.

Hvad det i praksis kræver:

• Individuelle toggle-kontroller per kategori
• Mulighed for at acceptere “nødvendige” uden at acceptere “marketing”
• Ingen kategorier er forudvalgte i aktiv tilstand (undtagen nødvendige)
• “Accepter alle” og “Afvis alle” er sideordnede valgmuligheder

EDPB’s Guideline 05/2020 og de nationale myndigheders praksis er klare: Bundtet samtykke (at acceptere alt for at bruge tjenesten) er ikke frit givet samtykke.

Tilbagetraekning af samtykke

Brugeren skal til enhver tid kunne trække sit samtykke tilbage, og det skal være lige så nemt at trække samtykke tilbage som at give det. Artikel 7, stk. 3 i GDPR er eksplicit herom.

I praksis betyder det:

• Et tilgængeligt link til cookie-indstillinger i footer på alle sider
• Mulighed for at ændre valg med et klik (ikke kræve ny side-navigation og tre klik for at finde muligheden)
• Umiddelbar effekt: Scripts og tracking stopper øjeblikkeligt efter tilbagetrækning
• Brugeren skal informeres om, at tilbagetrækning ikke påvirker lovligheden af behandling foretaget inden tilbagetrækning

Fælden mange falder i: De opdaterer visningen i consent-banneret, men scripts der allerede er loadet fortsætter med at køre. Teknisk implementation kræver at tilbagetrækning faktisk stopper dataindsamlingen, ikke bare opdaterer en cookie-status.

Samtykke-dokumentation

GDPR’s accountability-princip (artikel 5(2) og artikel 7(1)) kræver at du kan bevise, at du har indhentet gyldigt samtykke. Det betyder, at du for hvert samtykke skal kunne dokumentere:

• Hvornår samtykke blev givet (timestamp)
• Hvad der blev samtykket til (version af cookie-politik, hvilke kategorier)
• Hvordan samtykke blev indhentet (hvilken banner-version, hvilket flow)
• Hvem der gav samtykke (et anonymt bruger-ID er tilstrækkeligt — du behøver ikke kende identiteten)
• At samtykke var frivilligt (dokumentation for at der ikke var tvang)

Samtykke-logs bør gemmes i minimum 3-5 år. Mange compliance-specialister anbefaler 5 år som standard.

Borns samtykke

GDPR artikel 8 og nationale implementeringer stiller særlige krav til samtykke fra børn i forbindelse med “informationssamfundstjenester” (dvs. primært sociale medier og online platforme henvendt til børn):

• Under 16 år: Kræver forældrens samtykke (Danmark og de fleste EU-lande har valgt 16-årsgrænsen)
• Tjenesten skal gøre rimelige bestræbelser på at verificere, at samtykke er givet af forælder
• Særlige kategorier af personoplysninger om børn kræver endnu strengere behandling

For e-commerce og almindelige erhvervswebsites er dette sjældent et kerneproblem. Men for platforme med brugerindhold, sociale features eller tjenester rettet mod unge er det centralt.

I 2025 strammede USA’s FTC reglerne for behandling af børns data under COPPA (Children’s Online Privacy Protection Act) — med fokus på reklame-targeting og profilering af mindreårige.

6. Cookie banner-krav

Cookie-banneret er det synlige interface til brugeren. Det er her compliance eller non-compliance viser sig tydeligt — og det er det første tilsynsmyndighederne kigger på.

Hvad banneret skal indeholde

Et lovligt cookie-banner skal som minimum indeholde:

1. En klar og forståelig beskrivelse af hvilke cookies der bruges og til hvilke formål
2. En mulighed for at acceptere alle ikke-nødvendige cookies
3. En mulighed for at afvise alle ikke-nødvendige cookies — med samme fremtræden som accept-muligheden
4. En mulighed for granulær kontrol — dvs. adgang til at styre cookies per kategori
5. Et link til den fulde cookie-politik for detaljeret information
6. Ingen forudvalgte valgmuligheder i ikke-nødvendige kategorier

Derudover skal banneret:

• Vises før ikke-nødvendige cookies sættes (ikke efter!)
• Vises ved hvert besøg, indtil brugeren har truffet et aktivt valg
• Gemme brugerens valg og respektere det fremover
• Gøre det muligt for brugeren at ændre sit valg på ethvert tidspunkt

Design-krav og dark patterns

EDPB udgav i februar 2023 Guidelines 03/2022 om “deceptive design patterns” (dark patterns) i digitale brugerflader. Disse guidelines er bindende fortolkninger af GDPR’s krav til frit givet samtykke.

Forbudte dark patterns i cookie-bannere:

Overloading (overbelastning): At præsentere brugeren med en overvældende mængde information eller klik for at nå til afvis-funktionen. Eksempel: “Accepter alle” er ét klik, mens “Administrer præferencer” → “Afvis alle” kræver tre klik og to sideskift.

Skipping (spring-over): At designe flowet så brugeren ubevidst hopper over afvismuligheder. Eksempel: Et banner der ved klik på “Luk” (X) sættes alle cookies — en handling der ikke er en informeret accept.

Stirring (styring): At bruge visuelle elementer til at lede brugeren mod accept. Eksempel: “Accepter”-knap i iøjnefaldende grøn, “Afvis”-knap i grå med lille tekst.

Obstructing (blokering): At gøre afvisning kunstigt besværlig. Eksempel: Afvismuligheden er ikke synlig i første lag — brugeren skal navigere til et andet niveau.

Fickle (vekslende): At have inkonsistent eller uforudsigelig adfærd i consent-flowet. Eksempel: Toggles der gemmer status omvendt af hvad brugeren forventer.

Left in the dark (i mørket): At give utilstrækkelig information, så brugeren ikke forstår hvad de samtykker til. Eksempel: “Vi bruger cookies til at forbedre din oplevelse” uden specificering af hvilke cookies, hvilke tredjeparter og til hvilke formål.

Lovlige og anbefalede design-principper:

• Accepter og Afvis-knapper er identiske i størrelse, placering og visuel fremtræden
• Begge muligheder er tilgængelige direkte i første lag af banneret
• Teksten er klar og på brugerens sprog
• Afvisning er ikke mere besværlig end accept

Afvis-knap som krav

CNIL’s afgørelser i 2022 (mod Google, Facebook og Microsoft) specificerede eksplicit, at fraværet af en “Afvis alle”-knap i cookie-bannerets første lag er en overtrædelse. Siden da er dette blevet standarden for europæisk håndhævelse.

Konklusionen er klar: Du skal have en tydelig “Afvis alle”-knap direkte i banneret, på samme visuelle niveau som “Accepter alle”.

Dette afviger fra praksis hos mange ældre CMP-løsninger, der gemmer afvismuligheden under “Indstillinger” eller “Flere valgmuligheder”. Den løsning er ikke compliant efter gældende europæisk standard.

Sprog-krav

Cookie-banneret og cookie-politikken skal præsenteres på et sprog brugeren forstår. Hvis dit website primært er på dansk og retter sig mod danske brugere, skal banneret som udgangspunkt være på dansk.

Har du et internationalt website, skal du tilbyde sproget baseret på brugerens geografiske placering og/eller browserens sprogindstilling. At have et banner på engelsk over for en dansk bruger er et transparensproblem.

Cookie walls: Lovligt eller ej?

En “cookie wall” blokerer adgangen til indhold, medmindre brugeren accepterer alle cookies. Det er den digitale version af: “Accepter tracking eller forlad siden.”

Den juridiske vurdering i 2026:

EDPB’s Guideline 05/2020 er klar: Cookie walls er som udgangspunkt uforenelige med GDPR’s krav om frit givet samtykke, fordi brugeren ikke har et reelt valg.

“Pay or consent”-modellen — hvor brugeren enten betaler for adgang eller accepterer tracking — er mere kompleks. EDPB udstedte en retningslinje om dette i april 2024 og konkluderede: Betalingsalternativet kan lovliggøre en consent-wall, men kun hvis:

1. Betalingsalternativet er et genuint alternativ (ikke en symbolsk forhindring)
2. Betalingen er et rimeligt spejl af reklameindtægterne — ikke en afstraffende pris
3. Brugeren informeres klart om begge muligheder
4. Betalingsalternativet faktisk tilbydes (ikke kun principielt)

Store medieplatforme som Les Echos, Le Monde og Piano Media bruger “pay or consent”-modeller. Men implementeringen skal leve op til ovenstående krav.

For de fleste virksomheder er cookie walls ikke en realistisk compliance-strategi. Konklusionen: Brug et banner der faktisk giver brugerne et frit valg.

7. Cookie policy-krav

Cookie-politikken er det detaljerede dokument der supplerer banneret med fuldstændig information om alle cookies og behandlingsaktiviteter.

Hvad der skal dokumenteres per cookie

For hver enkelt cookie (eller kategori med tilsvarende cookies) skal din politik som minimum indeholde:

Det gælder for alle cookies — inklusive nødvendige (dog uden samtykkekrav), tredjepartscookies sat af plugins, HTTP-only cookies og tracking pixels.

Datatilsynets vejledning fra maj 2025 præciserer, at der ikke er plads til “gråzoner” — enten er en cookie dokumenteret og klassificeret, eller det er en overtrædelse.

Opdateringspligt

Cookie-politikken skal opdateres:

• Når du tilføjer nye cookies eller scripts til dit website
• Når eksisterende cookies ændrer formål, navn eller levetid
• Når dine tredjepartsleverandører opdaterer deres praksis
• Mindst én gang om året som systematisk gennemgang
• Når der sker relevante lovændringer eller myndighedsguidelines

Praktisk: Mange websites har en cookie-politik der er 2-3 år gammel og ikke afspejler aktuelle scripts. Det er en overtrædelse af informationspligten.

Dokumentér ændringsdatoen i cookie-politikken og overvej at lave en enkel changelog, der viser hvad der er ændret.

Placering og tilgaengelighed

Cookie-politikken skal være let tilgængelig:

• Link i footer på alle sider af websitet
• Link i eller tæt på cookie-banneret
• Ikke kræve login for at tilgå
• Tilgængelig i et klart læsbart format (ikke gemt i en 50-siders fortrolighedspolitik)

Mange virksomheder inkorporerer cookie-politikken i den generelle privatlivspolitik. Det er acceptabelt, men de cookie-specifikke oplysninger skal stadig være let identificerbare i dokumentet.

8. Teknisk implementation

Compliance på papiret er ikke nok. Den tekniske implementation er afgørende for om dine cookies faktisk sættes i overensstemmelse med loven.

Script blocking

Script blocking er den tekniske mekanisme der forhindrer cookies og tracking i at aktivere sig, inden brugeren har givet samtykke. Det er kernen i teknisk cookie compliance.

Hvad der skal blokeres:

Alle scripts der sætter ikke-nødvendige cookies eller sender persondata til tredjeparter skal blokeres ved sideindlæsning. De aktiveres kun, når og hvis brugeren giver samtykke til den relevante kategori.

Implementation-metoder:

1. Script-tag type-manipulation: Scripts ændres fra type="text/javascript" til type="text/plain" og aktiveres kun ved samtykke.

2. Google Tag Manager (GTM) med triggers: Scripts i GTM sættes op med samtykke-triggers, der kun afvikles, når de relevante consent-signaler er sat.

3. CMP-baseret script management: En Consent Management Platform som Privaci.io by bon.do håndterer blokering og aktivering automatisk baseret på brugerens valg.

Faldgruber:

• Scripts loadet direkte i <head> via CMS-plugins — disse bypasser CMP’en
• Third-party scripts der sættes via hardcoded HTML (ikke via GTM)
• Service worker registreringer der sker inden samtykke
• Fonts og CDN-ressourcer indlæst inden samtykke

Google Consent Mode v2

Google Consent Mode v2 er et system der kommunikerer brugerens samtykke-status direkte til Google’s tjenester (primært Google Analytics 4 og Google Ads). Det er obligatorisk for alle der bruger Google-annoncerings- eller analyseværktøjer i EØS siden marts 2024.

De fire centrale parametre:

Basic Mode vs Advanced Mode:

Basic Mode: Alle Google-tags er blokeret, indtil brugeren giver samtykke. Hvis brugeren afviser, sendes ingen data — ikke engang anonymiserede. Cookieless modeling er ikke mulig.

Advanced Mode: Google-tags indlæses altid, men de opfører sig forskelligt baseret på consent. Uden samtykke sendes “cookieless pings” — begrænsede signaler uden brugeridentitet. Dette giver Google mulighed for at modellere konverteringsdata og bidrager til bedre datakvalitet i GA4 og Google Ads.

Anbefalingen: Advanced Mode giver mere data og bedre konverteringsmodellering, men det kræver fuld tillid til, at Google håndterer cookieless pings lovligt. Basic Mode er mere konservativt og juridisk enklere at forsvare.

Implementationseksempel med GTM:

// Placeres FØR GTM-koden i <head>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}

// Sæt standarder til 'denied' inden CMP initialiseres
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});

CMP’en opdaterer herefter parametrene baseret på brugerens valg:

// Kaldes af CMP ved samtykke
gtag('consent', 'update', {
  'analytics_storage': 'granted',
  'ad_storage': 'granted',
  'ad_user_data': 'granted',
  'ad_personalization': 'granted'
});

Fra marts 2024 er Consent Mode v2 et krav for at bruge Google Ads’ konverteringsmodellering og for at bruge remarketing-lister i EØS. Websites der ikke har implementeret det risikerer degraderet datakvalitet og manglende adgang til visse Google Ads-funktioner.

Se vores fulde guide til Google Consent Mode v2.

IAB TCF — fra 2.2 til 2.3

IAB Europe’s Transparency and Consent Framework (TCF) er standarden for håndtering af samtykke i programmatisk annoncering. Mange store publishers og annoncenetværk kræver TCF-integration.

TCF v2.2 (lanceret maj 2023) indeholdt disse centrale ændringer:

• Fjernelse af “berettiget interesse” som retsgrundlag for purpose 3-6 (annoncering og personalisering)
• Forbedret brugerinformation med konkrete eksempler frem for juridisk tekst
• Strengere krav til vendorer om at dokumentere, hvad de gør

TCF v2.3 (lanceret juni 2025, overgangsperiode afsluttet 28. februar 2026) tilføjede:

• disclosedVendors-segmentet som obligatorisk del af TC String — fra 1. marts 2026 er TC Strings uden dette segment ugyldige
• Tydeliggørelse af vendor-disclosure i scenarier med signalambiguitet

Hvad det betyder for dig: Hvis din CMP bruger TCF, skal du sikre at den understøtter v2.3 og genererer gyldige TC Strings med disclosedVendors-segmentet. Alle TC Strings skabt inden 1. marts 2026 forbliver gyldige, men fremtidige TC Strings skal følge v2.3.

Bemærk: TCF er ikke obligatorisk medmindre du bruger programmatisk annoncering. For de fleste SMB-websites er det overflødigt kompleksitet.

Server-side tracking under GDPR

Server-side tracking er en arkitektur hvor tracking-logik flyttes fra browseren til en server under din kontrol. I stedet for at indlæse tredjepartsscripts direkte i browseren (som sender data til f.eks. Google), sendes data til din server, der videresender til de relevante tjenester.

Fordele:

• Undgår browser-baserede blockers og ITP
• Bedre datakvalitet
• Du kontrollerer hvilke data der sendes videre

GDPR-status: Server-side tracking ændrer ikke det juridiske krav om samtykke. Hvis du bruger server-side tracking til analytics eller annoncering, kræver det stadig samtykke fra brugeren — du videresender blot data på en anden måde. Det ændrer dog dataflowet og kan gøre det sværere for brugere og tilsynsmyndigheder at gennemskue, hvad der sker.

Læs vores dybdegående artikel om server-side tracking og GDPR.

9. Scanning og audit af dit website

En cookie-scanning er din første og løbende forsvarslinje. Det er umuligt at overholde reglerne for cookies du ikke ved eksisterer.

Hvad en grundig scanning finder

En komplet cookie-audit bør identificere:

• Alle HTTP-cookies, inklusive dem med HttpOnly og Secure-flag
• localStorage og sessionStorage-indhold sat af scripts
• Tracking pixels og web beacons der sender data til tredjeparter
• CNAME-cloakede trackere maskeret som førstepartsdomæner
• Browser fingerprinting-scripts
• Embed-content med tracking (YouTube, kort, sociale medier)
• Cookies der sættes inden samtykke — en kritisk overtrædelse
• Forældet eller forkert klassificeret indhold

Begrænsningen ved JavaScript-baserede scannere: De fleste gratis og budget-scannere kigger kun på cookies tilgængelige via document.cookie i browseren. HttpOnly-cookies, CNAME-cloakede trackere og server-side-satte cookies kræver dybere scanning — netværksanalyse på headerniveau, aktiv browser-rendering og DNS-opslag.

Privaci.io bruger aktiv browser-scanning der finder det hele. Scan dit website gratis.

Scan-frekvens

Praktisk anbefaling: Automatiser scanning og sæt alerts op, der notificerer, når nye cookies opdages. Manuelt tilsyn er utilstrækkeligt — din cookie-liste ændrer sig, hver gang et plugin opdateres eller et nyt script tilføjes.

Hvad du leder efter i scanresultater

Røde flag:

• Cookies sættes inden brugeren har interageret med banneret
• Marketing eller analytics-cookies der sættes selv for brugere der har afvist
• Uidentificerede cookies (ingen kategori, ingen formål)
• Cookies med meget lang levetid (>1 år) for tracking-formål
• Tredjepartscookies fra ukendte domæner
• CNAME-opløsninger der peger på trackere
• Fingerprinting-scripts

Korrektive handlinger:

1. Identificer scriptet der sætter den problematiske cookie
2. Verificer at scriptet er underlagt korrekt consent-flow
3. Klassificer cookie korrekt i din cookie-politik
4. Test at samtykke-tilbagetrækning faktisk stopper scriptet

10. Boder og enforcement

Storste GDPR cookie-boder

GDPR-bøder for cookie-relaterede overtrædelser er steget markant siden 2021. Her er et overblik over de største sager:

Det samlede billede: Siden GDPR trådte i kraft i 2018 er der registreret over 2.245 bøder for et samlet beløb på over 5,65 milliarder euro (per marts 2025). Irland, Luxembourg og Frankrig tegner sig for de største bødebeløb — primært fordi de største tech-virksomheder har europæisk hovedsæde i disse lande.

Datatilsynet og Danmark

Datatilsynet er den danske tilsynsmyndighed for GDPR. De har hidtil primært udstedt påbud (anbefalinger og krav om rettelse) frem for egentlige bøder i cookie-sager — men det billedet er ved at ændre sig.

Bemærkelsesværdige danske sager:

• 2022: Datatilsynet erklærede brugen af Google Workspace i Helsingør Kommune for ikke-GDPR-kompatibel pga. dataoverførsler til USA
• 2022: Lignende afgørelse om Google Analytics i Aarhus og andre kommuner, baseret på EU-Domstolens Schrems II-afgørelse

2026-fokus for Datatilsynet: Som del af EDPB’s koordinerede håndhævelsesindsats for 2026 (der fokuserer på transparens og information) vil Datatilsynet gennemføre tilsyn med, om virksomheder korrekt informerer brugere om deres cookies og databehandling. Det inkluderer cookie-bannere og cookie-politikkers indhold.

Digitaliseringsstyrelsen fører tilsyn med selve cookiebekendtgørelsen og kan udstede påbud og politianmelde. De har historisk foretaget scanning af danske websites og afsløret mangler — og vejledningen fra maj 2025 signalerer en strammere kurs.

Enforcement-tendenser i 2026

Baseret på EDPB’s indsatser og nationale myndigheders signaler er disse temaer centrale i 2026:

1. Dark patterns i fokus: Myndighederne er ikke længere tilfredse med at banneret eksisterer — de kigger på design. Er “Afvis”-knappen ligeværdig med “Accepter”? Er der unødvendige klik? Er sproget neutralt?

2. Børns data: Øget fokus på at børn under 16 ikke profitopses. TikTok’s 530 millioner euro bøde i 2025 var delvist relateret til børnebeskyttelse.

3. Tredjelandsoverførsler: Ulovlige dataoverførsler til USA (og især Kina) fortsætter med at generere enorme bøder. Schrems II og Privacy Shield/DPF-problematikken er ikke forsvundet.

4. AI og profilering: EDPB’s koordinerede indsats i 2025 fokuserede på retten til sletning. I 2026 er transparens og information i fokus — herunder om brugere faktisk informeres om, at deres cookie-data bruges til AI-træning og profilering.

5. GDPR-procesforordningen: Trådte i kraft januar 2026, gælder for nye sager fra april 2027. Betyder mere ensartet håndhævelse på tværs af EU og kortere behandlingstider.

6. Samlet bødesum stiger: Over 5,65 milliarder euro i samlede bøder — og kurven er opadgående. Den gennemsnitlige bødestørrelse stiger, og flere sager involverer mellemstore virksomheder, ikke kun tech-giganter.

11. Den komplette cookie compliance-checkliste

Brug denne checkliste som en systematisk gennemgang af din compliance-status. Den dækker de vigtigste krav fra GDPR og cookiebekendtgørelsen.

Juridisk grundlag

• Du har kortlagt alle cookies og tracking-teknologier på dit website
• Alle cookies er kategoriseret korrekt (nødvendige / funktionelle / statistik / marketing)
• Du kan dokumentere retsgrundlaget for hver kategori
• Din cookie-politik er opdateret inden for de seneste 12 måneder
• Din cookie-politik dokumenterer alle cookies med navn, formål, levetid og udbyder
• Din cookie-politik er tilgængelig via et tydeligt link i footer og i banneret
• Du har styr på databehandleraftaler med alle tredjeparts-cookieudbydere

Cookie-banner

• Banneret vises, inden ikke-nødvendige cookies sættes
• Banneret har en tydelig “Accepter alle”-knap
• Banneret har en tydelig “Afvis alle”-knap med samme visuelle vægt
• Banneret har adgang til granulær kategori-kontrol
• Ingen kategorier er forudvalgte som aktive (undtagen nødvendige)
• Ingen forudindtaget scrolling, trykket af OK udgør ikke samtykke
• Banneret er på brugerens sprog (dansk for dansk website)
• Banneret er vist ved første besøg og gentages, hvis samtykke tilbagetrækkes

Teknisk implementation

• Ikke-nødvendige scripts er blokeret inden samtykke
• Google Consent Mode v2 er implementeret (hvis du bruger Google-tjenester)
• Samtykkevalget gemmes korrekt og respekteres ved efterfølgende besøg
• Tilbagetrækning af samtykke stopper faktisk scripts (verificeret teknisk)
• HttpOnly-cookies er inkluderet i din cookie-dokumentation
• Embedded indhold (YouTube, Maps) indlæses ikke uden samtykke
• Lokalt hostede skrifttyper bruges frem for Google Fonts (eller samtykke indhentes)

Samtykke-dokumentation

• Dit CMP logger samtykke med timestamp og version
• Samtykke-logs gemmes i mindst 3 år
• Du kan eksportere dokumentation for en specifik brugers samtykke
• Dine samtykke-strenge er kompatible med TCF v2.3 (ved brug af programmatisk annoncering)

Scanning og vedligehold

• Du kører automatiserede cookie-scans mindst månedligt
• Du scanner efter nye cookies ved deployment
• Du har en proces til at klassificere og håndtere nye cookies
• Du er abonneret på opdateringer fra Datatilsynet og EDPB

USA-krav (CCPA/CPRA — hvis relevant)

• “Do Not Sell or Share My Personal Information”-link er synligt
• Global Privacy Control (GPC) browser-signaler respekteres
• Bekræftelse af opt-out vises til brugeren (fra januar 2026 obligatorisk)
• Børn under 16 har ikke tracking aktiveret uden verificeret forældrsamtykke

Download den komplette checkliste: En printvenlig version af denne checkliste samt en cookie policy-template er tilgængelig. Scan dit website og generér en rapport med Privaci.io by bon.do.

12. Konklusion

Cookie compliance i 2026 er mere komplekst end det var for bare tre år siden — og mere i fokus hos tilsynsmyndighederne end nogensinde.

Det vigtigste at tage med fra denne guide:

ePrivacy-forordningen er ikke kommet — og vil ikke komme. EU’s Digital Omnibus-forslag er på vej, men ikke vedtaget. Det gælder at arbejde med de regler vi har: ePrivacy-direktivet implementeret via cookiebekendtgørelsen, og GDPR’s samtykkekrav side om side.

Denmark strammer kursen. Den fælles vejledning fra Datatilsynet og Digitaliseringsstyrelsen i maj 2025 efterlader ingen tvivl om, at der ikke er plads til grå zoner. Pixels, fingerprinting og SDK’er er alle omfattet. Fælles dataansvar med tredjeparter er en reel risiko.

Banneret er ikke nok. Et cookie-banner der eksisterer er ikke compliance. Det skal have ligeværdig accept og afvis. Det skal vises inden cookies sættes. Det skal teknisk stoppe scripts. Det skal have korrekt dokumentation bag sig.

Scanning er ikke valgfrit. Du kan ikke overholde regler for cookies du ikke ved eksisterer. HttpOnly-cookies, CNAME-cloakede trackere og fingerprinting-scripts er usynlige for JavaScript-baserede scannere.

Bøderne stiger og rammer bredere. Over 5,65 milliarder euro i samlede GDPR-bøder. Og det er ikke kun for tech-giganter — spanske og franske myndigheder har udstedt hundredvis af bøder til mellemstore virksomheder.

Startpunktet er en grundig scanning. Find ud af hvad du faktisk har kørende på dit website, klassificer det korrekt, og byg din compliance op derfra.

Scan dit website gratis med Privaci.io by bon.do — og få en fuld rapport over alle cookies, tracking-teknologier og compliance-problemer på dit site.

Relaterede artikler

• Google Consent Mode v2: Den komplette guide
• Vi scannede 1.000 danske websites — her er hvad vi fandt
• Cookiebot-alternativer: Den ærlige sammenligning (2026)
• HTTP-only cookies: Den skjulte GDPR-risiko din scanner ikke ser
• CNAME cloaking: Avanceret tracking dit consent-tool ikke fanger
• Browser fingerprinting og GDPR
• Tredjepartscookies er døde — hvad nu?
• GDPR cookie-bøder: Alle sager du skal kende
• Dark patterns i cookie consent: Hvad er ulovligt?
• IAB TCF 2.2 og 2.3 forklaret
• Server-side tracking og GDPR
• Google Analytics 4 og GDPR: Er det lovligt?

Privaci.io er udviklet af bon.do — et dansk softwarehus med speciale i privacy-teknologi. Denne artikel opdateres løbende i takt med myndighedsguidelines og ny enforcement. Senest opdateret: marts 2026.

FAQ

Hvad er de vigtigste krav til cookie samtykke under GDPR i 2026?

Samtykke skal være frivilligt, specifikt, informeret og utvetydigt. Brugeren skal aktivt tilkendegive sit valg – ingen forudafkrydsede bokse. “Afvis alle”-mulighed skal være lige så tilgængelig som “Accepter alle”, og samtykket skal dokumenteres.

Hvad er forskellen på en CMP og en cookie-scanner?

En CMP (Consent Management Platform) håndterer og dokumenterer brugerens samtykkevalg. En cookie-scanner kortlægger, hvilke cookies og sporingsscripts der faktisk sættes på din side. Du har brug for begge: scanneren til at opdage cookies, CMP’en til at styre samtykke.

Gælder ePrivacy-reglerne også for B2B-hjemmesider?

Ja. ePrivacy-direktivet gælder for alle hjemmesider der sætter cookies i besøgendes browser, uanset om de henvender sig til forbrugere eller virksomheder. Dog er der lidt mere fleksibilitet ift. hvad der anses som “strengt nødvendigt” i B2B-kontekst.

Hvad sker der, hvis min CMP er konfigureret forkert?

En fejlkonfigureret CMP kan gøre at cookies sættes inden samtykke, at samtykkevalg ikke respekteres korrekt, eller at dokumentationen er utilstrækkelig. Det udgør en GDPR-overtrædelse selv om du har en CMP installeret.

Hvor ofte bør jeg scanne min hjemmeside for cookies?

Minimum én gang i kvartalet, og altid efter større opdateringer, nye integrationer eller ændringer i tredjepartsscripts. Kontinuerlig overvågning er ideel, da tredjepartsleverandører kan introducere nye cookies uden varsel.

Hvad er de nyeste ændringer i cookie-reglerne for 2026?

DMA (Digital Markets Act) stiller nye krav til “gatekeepers” som Google og Meta. Samtykke skal nu gives platformen direkte, ikke blot via hjemmesideejeren. Datatilsynet i Danmark har desuden skærpet vejledningen om, hvad der udgør gyldigt samtykke for analytiske cookies.