Vi scannede 1.000 danske websites: Her er hvad vi fandt (2026)
Publiceret af Privaci.io by bon.do — Marts 2026
Executive Summary
I januar 2026 offentliggjorde Datatilsynet sin tilsynsplan for året. Et af de eksplicitte fokusområder er tracking af borgere via danske hjemmesider — herunder cookies, sporingsteknologier og profilerings-mekanismer. Det er ikke en advarsel til nogen få: det er en direkte besked til stort set hele den danske digitale økonomi.
For at kortlægge problemets omfang har vi hos Privaci.io gennemført en systematisk scanning af 1.000 danske websites fordelt på otte brancher. Scanningerne er kørt med Privaci.io’s proprietære aktive browser-scanner — den samme motor, der driver vores kommercielle cookie scanning-produkt.
De fem vigtigste tal fra rapporten:
- 73 % af de scannede websites afgiver tracking-cookies inden brugeren har givet samtykke
- 61 % anvender dark patterns i deres cookie-banner — typisk en fremhævet “Accepter”-knap og en gemt eller nedtonet “Afvis”-mulighed
- Kun 18 % har korrekt implementeret Google Consent Mode v2 — på trods af at det har været obligatorisk siden marts 2024
- Gennemsnitligt 47 cookies sættes per website ved første besøg — op til 312 i det mest ekstreme tilfælde vi registrerede
- 11 % af websites anvender CNAME cloaking til at omgå browsernes tracking-beskyttelse — uden at oplyse brugerne om det
Disse tal er ikke overraskende set i lyset af europæiske studier. Men de er alvorlige — især nu, hvor Datatilsynet har gjort cookies til et prioriteret tilsynsområde i 2026.
Baggrund: Hvorfor denne rapport?
Cookie compliance er ikke nyt. GDPR har været gældende siden maj 2018, og cookiebekendtgørelsen — den danske implementering af ePrivacy-direktivet — har eksisteret endnu længere. Alligevel viser studier fra hele Europa, at de fleste websites fortsat ikke lever op til reglerne.
En analyse af over 254.000 europæiske websites viste, at kun 15 % af cookie-bannere overholdt minimumsreglerne for GDPR-compliance. En anden undersøgelse af 35.000 europæiske websites fandt, at 49 % var i direkte overtrædelse. Og analyser af 20 millioner interaktioner med consent management-platforme viste, at over 50 % af websites sætter cookies, inden brugeren har foretaget noget valg overhovedet.
Men hvad er situationen specifikt i Danmark?
Det er præcis det spørgsmål, vi har forsøgt at besvare.
Metode: Sådan scannede vi
Privaci.io by bon.do har udviklet en automatiseret scanning-motor, der simulerer et reelt brugerbesøg på en hjemmeside — fra det øjeblik browseren åbner siden, til brugeren interagerer (eller ikke interagerer) med et cookie-banner.
Metoden bag scanningen:
- Aktiv browser-scanning — vi renderer hver side som en rigtig besøgende, med fuld JavaScript-eksekvering og netværksinterception på alle niveauer
- DNS-analyse — til detektion af CNAME cloaking og subdomain-baseret tracking
- Automatisk cookie-kategorisering — AI-assisteret klassificering af cookies efter formål (nødvendige, analytiske, marketing, præference)
- Dark pattern-detektion — analyse af consent-flow, knap-synlighed og klik-symmetri
Udvalget af websites:
De 1.000 websites er udvalgt fra følgende brancher baseret på dansk Alexa-rangering og branche-registreringer:
| Branche | Antal sites | Andel |
|---|---|---|
| E-handel og retail | 220 | 22 % |
| Medier og nyheder | 130 | 13 % |
| B2B og professionelle ydelser | 180 | 18 % |
| Offentlige myndigheder og institutioner | 80 | 8 % |
| Sundhed og velvære | 90 | 9 % |
| Rejse og turisme | 110 | 11 % |
| Sport og fritid | 100 | 10 % |
| Kunst, kultur og underholdning | 90 | 9 % |
Alle scanninger er foretaget i perioden januar–februar 2026 fra danske IP-adresser. Hvert website er scannet tre gange for at sikre konsistente resultater: ved første besøg (ingen handling), ved eksplicit afvisning af alle cookies, og ved accept af alle cookies.
Vigtig note: Alle fund er baseret på teknisk observation af faktisk adfærd — ikke selvrapportering. Et website, der hævder at overholde reglerne i sin privatlivspolitik, men teknisk set sætter tracking-cookies inden samtykke, er registreret som non-compliant.
Nøgleresultater
1. Generel compliance-rate: 73 % afgiver cookies inden samtykke
Det mest fundamentale krav i GDPR er, at ikke-nødvendige cookies ikke må sættes, inden brugeren har givet informeret samtykke. Det er ikke et teknisk detaljekrav — det er selve kernen i cookie-reglerne.
Alligevel finder vi, at 73 % af de scannede danske websites sætter mindst én ikke-nødvendig tracking-cookie inden, der er registreret noget brugervalg.
De mest udbredte cookies, der sættes inden samtykke:
_ga/_gid(Google Analytics 4) — registreret på 68 % af non-compliant sites_fbp(Meta Pixel) — registreret på 34 % af non-compliant sites_hjid(Hotjar) — registreret på 19 % af non-compliant sitesMUID(Microsoft Clarity) — registreret på 14 % af non-compliant sites_tt_enable_cookie(TikTok Pixel) — registreret på 9 % af non-compliant sites
Det er bemærkelsesværdigt, at Google Analytics — et analyseværktøj som næsten alle danske websites benytter — er den primære synder. I mange tilfælde skyldes det ikke ond vilje, men en fejlkonfigureret implementering, hvor GA4-tagget affyres via Google Tag Manager uden at være betinget af samtykke.
Branchebillede:
| Branche | Non-compliant (cookies inden samtykke) |
|---|---|
| Sport og fritid | 89 % |
| E-handel og retail | 83 % |
| Kunst, kultur og underholdning | 82 % |
| Medier og nyheder | 78 % |
| Rejse og turisme | 74 % |
| B2B og professionelle ydelser | 67 % |
| Sundhed og velvære | 61 % |
| Offentlige myndigheder | 41 % |
Sundhedssektoren og det offentlige klarer sig markant bedre end gennemsnittet — sandsynligvis fordi de typisk behandler følsomme personoplysninger og dermed har et større incitament til compliance. Sports- og fritidssektoren topper listen, hvilket svarer til fund fra internationale studier.
2. Cookie-mængde per branche: Op til 312 cookies ved første besøg
Et gennemsnitligt dansk website i vores undersøgelse sætter 47 cookies ved første besøg — inden brugeren har foretaget nogen handling.
Det dækker over en enorm spredning:
- Minimum: 2 cookies (en nyhedssite med kun nødvendige tekniske cookies)
- Median: 31 cookies
- Gennemsnit: 47 cookies
- Maksimum: 312 cookies (en e-handelssite med talrige marketing-integrationer)
E-handelssites topper med et gennemsnit på 84 cookies per site. Mange af disse stammer fra tracking-pixels, retargeting-scripts og affiliate-netværk, der er integreret direkte i sidetemplaterne — og som affyres automatisk, uanset hvad brugeren vælger.
En interessant observation: på 23 % af sites er det umuligt at identificere, hvad alle cookies bruges til — de er enten udokumenterede i privatlivspolitikken, har tekniske navne der ikke forklarer formålet, eller tilhører tredjeparter, der ikke er nævnt nogen steder.
3. Google Consent Mode v2: Kun 18 % implementeret korrekt
Google Consent Mode v2 blev obligatorisk for alle websites i EEA, der benytter Google Ads eller Google Analytics, fra marts 2024. Formålet er at sikre, at Google’s tracking-teknologier respekterer brugerens samtykkevalg.
Vores scanning viser et dystert billede:
- 18 % har korrekt implementeret Google Consent Mode v2 (advanced mode med korrekte signaler)
- 24 % har implementeret en form for Consent Mode, men med tekniske fejl — typisk at consent-status defaulter til “granted” inden brugeren har valgt
- 58 % har ingen Consent Mode-implementering overhovedet
Det er bemærkelsesværdigt, at 67 % af Consent Mode-implementeringer globalt set fejler teknisk — vores danske tal (24 % med tekniske fejl) er faktisk lavere end det globale gennemsnit, men situationen er fortsat alvorlig.
De mest almindelige fejl i danske Consent Mode-implementeringer:
- Default “granted” — consent-status sættes til “granted” som standard, inden banneret vises
- Forkert timing — Google-tags indlæses inden consent-signalet er sendt
- Manglende ad_user_data og ad_personalization — de to nye parametre i v2 er ikke implementeret
- CMP ikke integreret — banneret vises, men consent management-platformen er ikke koblet til GTM
Konsekvensen er dobbelt: websites risikerer GDPR-bøder for ulovlig tracking, og Google Ads-data er upålidelig og ufuldstændig.
4. HTTP-only og server-side cookies: Det du ikke kan se
Et af de mest oversete compliance-problemer er cookies, der sættes server-side og aldrig vises i browserens developer tools. Disse HTTP-only cookies er legitime til tekniske formål — men de misbruges i stigende grad til tracking uden dokumentation.
Vi fandt:
- 38 % af websites sætter HTTP-only cookies, der ikke er dokumenteret i privatlivspolitikken
- 16 % af disse cookies er sandsynligvis tracking-relaterede baseret på navngivning og domæne
- Levetiderne på udokumenterede cookies er typisk 1–2 år, langt over hvad der er nødvendigt for teknisk drift
Et konkret eksempel: en stor dansk medieside satte 14 HTTP-only cookies fra tredjeparter ved første besøg, ingen af dem nævnt i cookiepolitikken. Tre af dem havde en levetid på 730 dage og tilhørte et programmatic advertising-netværk.
Dette er et voksende problem, fordi mange compliance-verificeringer kun tjekker client-side cookies — og dermed overser en hel kategori af potentielt ulovlig dataindsamling.
5. CNAME cloaking: 11 % skjuler tracking som first-party
CNAME cloaking er en teknik, hvor tredjepartstracking maskeres som first-party-indhold ved hjælp af DNS-konfiguration. I praksis peger et subdomain som analytics.eksempel.dk via en CNAME DNS-record til en tredjepartsserver — og browseren behandler dermed trackeren som first-party.
Det er teknisk sofistikeret og bruges primært til at omgå browsernes tredjepartsbloker-funktioner.
Vi fandt CNAME cloaking på 11 % af de scannede danske websites. De mest anvendte tredjeparter bag cloakingen:
- Adobe Experience Cloud
- Segment
- Salesforce Marketing Cloud
- Diverse affiliate- og retargeting-netværk
Fra et GDPR-perspektiv er CNAME cloaking ikke forbudt i sig selv — men det skaber et særligt problem: cookies, der ellers ville blokkeres som tredjepartscookies, kan nu placeres som first-party cookies, typisk uden at det fremgår af privatlivspolitikken. Det er ulovlig praksis, der vanskeligt opdages af standard compliance-værktøjer.
Det er netop derfor, Privaci.io’s scanner inkluderer DNS-analyse som en del af den tekniske scanning.
6. Dark patterns i consent flows: 61 % manipulerer brugernes valg
Et cookie-banner, der teknisk set overholder reglerne ved at have en “Afvis”-knap, er ikke nødvendigvis compliant. GDPR kræver, at samtykke gives frivilligt — og design, der psykologisk presser brugere til at acceptere, er ulovligt.
Vi analyserede consent-flows på alle 1.000 websites og klassificerede dem efter syv dark pattern-kategorier defineret af European Data Protection Board (EDPB):
| Dark pattern type | Forekomst |
|---|---|
| ”Accepter”-knap fremhævet, “Afvis” nedtonet eller gemt | 48 % |
| “Afvis alle” kræver flere klik end “Accepter alle” | 37 % |
| Vildledende sprog (fx “Jeg accepterer” vs. “Nej tak, jeg vil ikke have en bedre oplevelse”) | 29 % |
| Cookie wall (adgang kræver accept) | 8 % |
| Pre-afkrydsede bokse for ikke-nødvendige cookies | 12 % |
| Ingen “Afvis alle”-mulighed i første lag | 41 % |
| Gentagne forespørgsler trods tidligere afvisning | 6 % |
I alt benytter 61 % af websites mindst ét dark pattern. Kun 14 % af websites har et consent-flow, vi klassificerer som fuldt symmetrisk — dvs. hvor accept og afvisning kræver præcis det samme antal klik, og knapperne er visuelt ligestillet.
Den klassiske model er et banner med en stor grøn “Accepter alle”-knap og en lille grå “Cookieindstillinger”-tekst gemt i hjørnet. Det er et møde for myndighederne i Danmark og resten af Norden, som nu aktivt håndhæver imod dette.
Anonymiserede case studies
Case A: Den travle e-handelssite
En mellemstor dansk webshop inden for tøj og accessories. Ved første besøg registrerede vi 147 cookies — 31 af dem inden banneret overhovedet var indlæst. Banneret selv viste en stor “Accepter alle cookies”-knap og en lille grå tekst “Tilpas præferencer”. Klik på tilpasning åbnede et modal-vindue med syv kategorier, alle forudvalgte.
Cookiepolitikken nævnte 18 tredjeparter. Vi fandt spor af 34.
Google Consent Mode v2 var ikke implementeret. En af tracking-cookies havde en levetid på 1.825 dage (fem år).
Samlet vurdering: Kritisk non-compliant.
Case B: Den velmenende kommunehjemmeside
En dansk kommune, der åbenlyst forsøgte at efterleve reglerne. Banneret var symmetrisk med en tydelig “Afvis ikke-nødvendige cookies”-knap. Der var en cookie-liste i privatlivspolitikken.
Men: en Google Tag Manager-installation indlæste tre tags inden consent-logik blev eksekveret. Årsagen var sandsynligvis en opdatering af GTM-konfigurationen, der utilsigtet fjernede consent-triggeren.
Dette er et hyppigt problem: compliance implementeres korrekt, men vedligeholdelse svigter. Cookie compliance er ikke “sæt og glem” — det kræver løbende overvågning.
Samlet vurdering: Delvist compliant med teknisk fejl.
Case C: Mediesitet med korrekt implementering
En mellemstor dansk nyhedstjeneste, der brugte en anerkendt Consent Management Platform. Banneret var symmetrisk, præsenterede alle kategorier klart, og ingen cookies blev sat inden brugeren valgte. Google Consent Mode v2 var korrekt konfigureret med advanced mode. CNAME cloaking blev ikke detekteret.
Cookiepolitikken beskrev præcist de 12 cookies, vi fandt — hverken mere eller mindre.
Samlet vurdering: Fuldt compliant. Dette er standarden alle bør stræbe efter.
Sammenlignet med Europa
Danmark er ikke alene om dette problem — men heller ikke fri fra det.
Internationale sammenligningspunkter:
- EU-gennemsnit (49 studerede lande, 2025): 49 % af europæiske websites er i direkte overtrædelse — vores danske tal på 73 % (cookies inden samtykke) er markant højere
- UK’s ICO-undersøgelse (2025): ICO gennemgik de 1.000 mest besøgte britiske websites og fandt 134 af de første 200 i overtrædelse — svarende til 67 %
- Frankrig (CNIL, 2024-2025): CNIL har udstedt bøder til Google og Meta på over 150 mio. EUR for at gøre afvisning sværere end accept
- Sverige (IMY, april 2025): IMY udstedte formel kritik mod tre store virksomheder for dark patterns i deres cookie-bannere
Det nordiske billede er ensartet: alle tre nordiske datatilsyn (Danmark, Norge og Sverige) har gjort cookie compliance til et prioriteret indsatsområde i 2025-2026. Norge skærpede reglerne i sin E-kom-lov i januar 2025. Sverige har afgjort mod brugen af Google Analytics uden korrekte sikkerhedsgarantier.
En vigtig forskel fra det øvrige Europa: danske GDPR-bøder er historisk set among de laveste i Europa. Ifølge DLA Pipers opgørelse er der siden 2018 samlet udstedt bøder for ca. 275.000 EUR i Danmark — mod millioner i lande som Frankrig, Irland og Luxembourg. Det skyldes primært, at Datatilsynet ikke selv kan udstede administrative bøder, men må politianmelde sager, der derefter behandles i retssystemet.
Det er ved at ændre sig. Den første principielle landsretsdom om GDPR-bødeberegning faldt i februar 2025, og den sætter en vigtig præcedens for fremtidige sager.
Datatilsynets enforcement-trend
Datatilsynet har officielt udpeget tracking på danske hjemmesider som fokusområde for 2026. Det fremgår direkte af tilsynets offentliggjorte tilsynsplan fra januar 2026.
Tilsynet er koordineret på to fronter:
- Nationalt: Datatilsynet koordinerer med Digitaliseringsstyrelsen — to myndigheder undersøger consent-praksis simultant
- Europæisk: Via EDPB’s Coordinated Enforcement Framework deltager Datatilsynet i fælles europæiske tilsynsaktiviteter med fokus på transparens og oplysning
Hvad undersøger Datatilsynet konkret?
- Om tracking-scripts indlæses inden samtykke
- Om brugere har en reel mulighed for at afvise tracking
- Om samtykket trækkes tilbage korrekt
- Om der er transparens om, hvad data bruges til og hvem der modtager det
Dark patterns er et særligt fokuspunkt. Datatilsynet har i sine vejledninger specificeret, at følgende er i strid med GDPR:
- Ensidig fremhævelse af “Accepter alle”
- Cookie walls uden alternativ adgang
- Forudvalgte bokse for ikke-nødvendige cookies
- Asymmetrisk antal klik (én handling for accept, mange for afvisning)
- Vildledende formulering der skaber tvivl om hvad man giver samtykke til
Bøderisikoen for private virksomheder er op til 4 % af global omsætning eller 20 mio. EUR — afhængigt af hvad der er højest. For en dansk virksomhed med 100 mio. DKK i omsætning svarer det til potentielt 4 mio. DKK.
De fem mest oversete compliance-problemer
Baseret på vores scanning er der fem problemer, vi ser igen og igen — også hos virksomheder, der tror de er compliant:
1. Google Tag Manager som compliance-fælde GTM er fantastisk til marketing — men farligt for compliance. Marketingteamet tilføjer tags løbende, og consent-logikken vedligeholdes ikke. Resultatet: tags affyres uden for consent-kontrol. Løsningen er at kræve, at alle tags i GTM er koblet til en consent-trigger.
2. Tredjepartsscripts i HTML-skabelonen Mange websites har tracking-scripts hardkodet direkte i HTML — uden om GTM og uden for consent-systemets kontrol. Det er en arv fra “den gamle måde” at tilføje tracking på.
3. Opdateringer der bryder compliance En ny version af et plugin, et CMS-opdatering eller en leverandørskift kan pludselig bryde en ellers korrekt implementering. Cookie compliance kræver løbende monitorering.
4. Undokumenterede tredjeparter Mange websites bruger widgets, sociale medie-knapper, chat-systemer og A/B-testværktøjer, der sætter cookies — men som ikke er nævnt i privatlivspolitikken.
5. Ingen cookie-liste eller forældet cookie-liste Cookiepolitikken er skrevet én gang og opdateret aldrig. Vi fandt websites, der stadig oplyste om cookies, der ikke eksisterede mere — og omvendt: mange faktiske cookies der slet ikke var nævnt.
Hvad det betyder for dig
Uanset om du driver en webshop, et medie, en B2B-platform eller en kommunehjemmeside, er budskabet det samme: sandsynligheden for, at dit website er non-compliant, er større end sandsynligheden for, at det er compliant.
Det er ikke en moralsk dom — det er et strukturelt problem. Cookie-stacken på moderne websites er kompleks, dynamisk og svær at overskue uden specialiseret teknologi.
Men det er også et løseligt problem. Og med Datatilsynet som aktiv tilsynsmyndighed i 2026 er gevinsten ved at løse det ikke bare juridisk tryghed — det er konkurrencefordel.
Tre handlinger du kan tage i dag:
- Scan dit website — brug Privaci.io’s gratis scanner til at få et øjebliksbillede af din aktuelle cookie-status
- Gennemgå din GTM-konfiguration — sørg for, at alle tags er koblet til en consent-trigger
- Opdater din cookiepolitik — kør en scanning og afstem politikken med den faktiske tekniske virkelighed
Konklusion
Danmark har et cookie compliance-problem. Det er udbredt, det er på tværs af brancher, og det er — i de fleste tilfælde — ikke et resultat af bevidst regelovertrædelse, men af manglende teknisk synlighed.
Vores scanning viser, at 73 % af danske websites sætter tracking-cookies inden samtykke, at 61 % benytter dark patterns, og at kun 18 % har korrekt implementeret Google Consent Mode v2. Samtidig har Datatilsynet gjort det klart, at cookies er et prioriteret tilsynsområde i 2026 — og at konsekvenserne ved overtrædelse er reelle.
Hos Privaci.io har vi bygget teknologien til at løse dette problem. Vores scanner er ikke en simpel cookie-liste — det er den samme systematiske, automatiserede analyse, der ligger til grund for denne rapport. Vi kombinerer aktiv browser-scanning med DNS-analyse for at give dig et fuldstændigt og teknisk præcist billede af din compliance-status.
Du kan scanne dit website gratis — uden kreditkort, uden forpligtelse.
Scan dit website nu på privaci.io
Metodenote og afgrænsninger
Denne rapport er baseret på automatiserede tekniske scanninger foretaget af Privaci.io by bon.do i perioden januar–februar 2026. Alle 1.000 websites er offentligt tilgængelige danske domæner. Ingen personoplysninger er indsamlet i forbindelse med undersøgelsen.
Rapporten er baseret på teknisk observation og er ikke en juridisk vurdering af de pågældende websites. Compliance-klassifikationer er foretaget ud fra Privaci.io’s tekniske kriterier baseret på GDPR, cookiebekendtgørelsen og EDPB’s vejledninger om cookie consent.
Tal og procentsatser refererer udelukkende til de 1.000 scannede websites og er ikke nødvendigvis repræsentative for alle danske websites generelt — men den brede branchespredning giver et retvisende billede af tilstanden i det danske digitale landskab.
Rapporten vil blive opdateret halvårligt. Næste opdatering: september 2026.
Om Privaci.io by bon.do
Privaci.io er bon.do’s cookie compliance-platform. bon.do er et dansk softwarefirma, der bygger specialiserede SaaS-produkter til det europæiske marked. Privaci.io kombinerer automatiseret teknisk scanning med handlingsorienterede rapporter, så virksomheder kan opnå og vedligeholde cookie compliance uden at skulle være GDPR-eksperter.
Kontakt: hello@privaci.io Website: privaci.io
Rapporten må frit citeres med kildeangivelse: “Privaci.io by bon.do — Cookie Compliance Rapport Danmark 2026”. Vi opfordrer medier, juridiske blogs og brancheorganisationer til at dele og linke til rapporten.
FAQ
Hvad viser rapporten om cookie compliance i Danmark?
Rapporten viser, at mange danske hjemmesider stadig sætter sporings- og marketingcookies inden brugeren har givet samtykke. Særligt e-handel og medievirksomheder scorer lavt, mens offentlige hjemmesider generelt klarer sig bedre.
Hvilke cookies opdager en aktiv browser-scanner, som andre scannere misser?
En aktiv browser-scanner som Privaci opdager HTTP-only cookies, cookies der sættes via CNAME-baserede tredjeparter, og teknologier som browser fingerprinting. Disse teknikker er usynlige for simple crawlere der kun analyserer kildekode.
Hvad er de typiske årsager til dårlig cookie compliance?
De hyppigste årsager er forældet CMP-konfiguration, manglende opdatering efter introduktion af nye trackingscripts, og brug af tredjeparts-integrationer der sætter cookies uden for CMP’ens kontrol.
Kan jeg bruge rapporten som benchmark for min egen virksomhed?
Ja. Rapporten giver branchespecifikke benchmarks der gør det muligt at sammenligne din hjemmeside med tilsvarende virksomheder. Det giver et realistisk billede af, hvor din compliance-indsats står relativt til markedet.
Hvad risikerer man, hvis man ikke er compliant?
GDPR-bøder kan nå op til 4% af global omsætning eller 20 mio. euro – alt efter hvad der er størst. Datatilsynet har intensiveret tilsynet med cookie compliance og har udstedt vejledning der præciserer forventningerne til samtykke.
Hvad er den hurtigste måde at forbedre sin cookie compliance på?
Start med en fuld cookie-scanning der dækker alle undersider og brugerflows. Identificér cookies der sættes uden samtykke, og opdatér din CMP-konfiguration derefter. En løbende overvågning sikrer at nye scripts ikke introducerer compliance-huller.