23. april 2026
Cookiebanner der lever op til dansk lov — 7 tjekpunkter
Tjekliste til dit cookie-banner baseret på cookiebekendtgørelsen § 3. Undgå de 7 klassiske fejl som Datatilsynet ser mest.
Hvorfor cookie-banneret er det mest belastede punkt
Cookie-banneret er det første, en besøgende møder på dit website, og det er samtidig det område, Datatilsynet får flest klager over. I 2024 og 2025 udgjorde cookie-samtykke alene omkring 36 % af de behandlede sager på området, og de fleste havde samme grundlæggende fejl: tracking blev aktiveret før klik, reject-knappen var gemt væk, eller samtykket kunne ikke trækkes tilbage. Det er ikke juridisk gråzone — det er dokumenterede mønstre, og de fleste SMB'er kan rette dem på en eftermiddag. Denne guide gennemgår de 7 konkrete tjekpunkter, du kan måle dit nuværende banner op imod.
Hvad siger dansk lov egentlig?
Grundloven for cookies i Danmark er cookiebekendtgørelsen (BEK nr. 1148 af 09/12/2011, med senere ændringer), som implementerer ePrivacy-direktivets artikel 5(3). Den centrale regel ligger i § 3: man må ikke lagre eller tilgå information på en brugers terminal — herunder cookies, localStorage og lignende — medmindre brugeren har givet informeret samtykke. Der er én undtagelse: cookies, der er strengt nødvendige for den funktion, brugeren aktivt har anmodet om. Alt andet kræver samtykke før, data læses eller skrives.
Cookiebekendtgørelsen arbejder tæt sammen med GDPR. Hvor cookiebekendtgørelsen regulerer selve handlingen at læse og skrive data på brugerens enhed, regulerer GDPR den efterfølgende behandling af personoplysninger. Samtykkekravet i GDPR artikel 7 er den standard, dit cookie-samtykke skal leve op til: det skal være frivilligt, specifikt, informeret og utvetydigt. "Utvetydigt" betyder, at stiltiende accept — f.eks. at brugeren blot bevæger sig rundt på siden — ikke tæller som samtykke.
Kombinationen betyder i praksis, at et compliant cookie-banner skal levere fire ting samtidigt: information om hvad der sker, reel valgfrihed mellem at acceptere og afvise, teknisk sikring af at intet fyres før klik, og en mekanisme til at trække samtykke tilbage senere.
De 7 tjekpunkter
1. Reject-knap med samme visuelle vægt som accept-knappen
Datatilsynet har i flere afgørelser slået fast, at et samtykke ikke er frit, hvis det er markant sværere at afvise end at acceptere. I praksis betyder det, at "Afvis alle" skal stå ved siden af "Accepter alle" — ikke gemt under et link med småt eller bag to ekstra klik i en indstillingsmenu. Samme farve, samme størrelse, samme placering. Hvis du er i tvivl, så tag et screenshot af banneret og vis det til en kollega, der aldrig har set dit website før: kan vedkommende på under 3 sekunder finde både accept- og afvis-knappen?
2. Pre-ticked bokse er ikke gyldigt samtykke
GDPR artikel 7 og EU-domstolens afgørelse i Planet49-sagen (C-673/17) er krystalklare: forhåndsafkrydsede bokse tæller ikke som samtykke. Det gælder både detaljerede cookie-indstillinger, hvor analytics og marketing er krydset af som default, og de generiske "vi bruger cookies"-bannere uden reel valgknap. Hver kategori, der kræver samtykke, skal starte i unchecked-tilstand og aktiveres ved et aktivt klik fra brugeren.
Vigtigt
Forhåndsafkrydsede bokse er det enkeltstående punkt, hvor vi ser flest direkte brud på dansk praksis. Det er også det punkt, som er nemmest at teste — åbn banneret, åbn DevTools, og se om noget allerede er aktiveret, før du har klikket noget. Hvis ja, har du et problem, uanset hvad leverandøren hævder.
3. Scripts fyres først EFTER accept
Det tekniske hovedkrav er, at ingen tracking-cookies, pixels eller tredjepartsscripts må loade, før brugeren aktivt har accepteret dem. Det betyder typisk, at du skal:
- Placere Google Tag Manager, Meta Pixel, LinkedIn Insight Tag og lignende bag en consent-gate
- Konfigurere Tag Manager's consent mode (v2), så tags lytter på samtykkestatus før fyring
- Sikre at iframes (YouTube, Vimeo, Google Maps) ikke indlejres direkte, men først efter klik
Test det i Chrome DevTools: åbn Network-fanen, hard-reload siden, og scroll gennem listen. Inden du klikker "Accepter" bør der kun være requests til dit eget domæne og eventuelt din consent-leverandør — ingen til google-analytics.com, facebook.com, doubleclick.net eller lignende.
4. Cookie-banneret skal indeholde en detaljeret cookie-oversigt
GDPR artikel 13 kræver, at brugeren kan se, hvilke konkrete cookies der sættes, hvem modtageren er, og hvor længe de lagres. Den typiske minimumsinformation per cookie:
- Navn (f.eks.
_ga) - Leverandør (Google)
- Formål (statistik, besøgsmåling)
- Udløb (13 måneder)
- Kategori (statistik / marketing / funktionel / nødvendig)
Denne oversigt kan ligge i selve banneret under en "Detaljer"-knap eller som en separat cookie-politik, der linkes fra banneret. Den skal være opdateret — ikke et 2-år-gammelt Excel-ark, der ikke afspejler hvad der faktisk kører på siden.
5. Samtykket skal kunne trækkes tilbage lige så let som givet
GDPR artikel 7(3) slår fast, at det skal være lige så let at trække et samtykke tilbage som at give det. I praksis betyder det, at der skal være en vedvarende mekanisme — typisk et lille ikon i nederste hjørne eller et link i footer'en — som genåbner cookie-indstillingerne. Et samtykke, der kun kan trækkes tilbage ved at manuelt slette cookies i browseren, er ikke compliant. Det skal kunne gøres fra selve dit website, og det skal tage maksimalt to klik.
6. Sproglige krav — forståeligt, ikke juridisk
GDPR artikel 12 kræver, at informationen til den registrerede er i "en klar og tydelig sprogform". I praksis betyder det dansk, og dansk uden jura-jargon. Kunden skal kunne læse banneret på 30 sekunder og forstå, hvad der sker. Undgå formuleringer som "vi behandler dine personoplysninger på grundlag af art. 6(1)(a)" — skriv i stedet "vi bruger cookies til at måle, hvordan vores side bruges, hvis du siger ja". Dokumentér det juridiske grundlag i privatlivspolitikken, hold banneret kort og menneskeligt.
7. Auditér mindst én gang årligt
Cookie-landskabet ændrer sig. Du installerer et nyt CRM, dit marketing-bureau tilføjer en pixel, din udvikler opdaterer et plugin, og pludselig kører der 6 scripts mere, end du er bevidst om. Minimum én gang om året bør du køre en teknisk audit: hvilke cookies sættes faktisk, er de alle dækket af dit banner, og er de korrekt kategoriseret? Det tager typisk en time, og det er den billigste forsikring mod en Datatilsynet-afgørelse om "manglende overblik".
Tekniske vs. tracking-cookies
Ikke alle cookies kræver samtykke. Cookiebekendtgørelsen § 3, stk. 2 undtager cookies, der er strengt nødvendige for den tjeneste, brugeren har anmodet om. I praksis dækker det:
- Session-cookies der holder dig logget ind eller husker, at du er midt i en checkout
- Cart-cookies der gemmer varer i indkøbskurven
- Sprogvalg og accessibility-præferencer, brugeren selv har aktiveret
- CSRF-tokens og andre sikkerhedscookies
- Load-balancing og server-side session routing
Ikke eksempt — kræver samtykke — er bl.a.:
- Google Analytics (også selv hvis den er anonymiseret, ifølge Datatilsynets 2022-vejledning)
- Meta Pixel, LinkedIn Insight, TikTok Pixel og alle andre marketing-pixels
- Remarketing og personalisering
- A/B-testing der identificerer brugeren på tværs af sessions
- Heatmap-værktøjer som Hotjar og Microsoft Clarity
Bemærk
Tekniske cookies er ikke en bagdør. Hvis du kategoriserer Google Analytics som "nødvendig" for at slippe for samtykke, overtræder du reglen — uanset hvor stor værdi analytics har for dig forretningsmæssigt. Nødvendig betyder nødvendig for tjenestens funktion fra brugerens perspektiv, ikke fra dit.
Konkrete implementeringer
For en dansk SMB er der tre realistiske veje:
Cookiebot er det mest udbredte valg i Danmark, og med god grund. Dansk support, prisbillig plan til små sites (fra omkring 100 kr./md.), automatisk scanning af cookies på dit domæne, og indbygget consent-log, der dokumenterer hvert enkelt samtykke. For langt de fleste SMB'er er Cookiebot default-valget.
Tip
Hvis du starter fra bunden, så vælg Cookiebot. Konfigurationen tager typisk 2-4 timer (scriptet indsættes i head, scanning kører én gang i døgnet, kategorier bekræftes manuelt), og så er 80 % af dine cookie-forpligtelser dækket. Den sidste 20 % er at verificere, at Google Tag Manager faktisk lytter på samtykket — dét er hvor de fleste fejl opstår.
Klaro! er open-source og gratis. Det er et solidt valg, hvis du har teknisk ekspertise i huset og vil undgå månedlige abonnementer, men du får ingen automatisk cookie-scanning — du vedligeholder konfigurationen selv. Velegnet til tech-virksomheder og udviklerteams, ikke til Marketing-afdelingen.
Custom-løsning — dvs. dit eget hjemmebyggede banner — er den mest risikable vej. Det kan gøres, men du skal selv dokumentere hvert af de 7 tjekpunkter, vedligeholde cookie-oversigten, logge samtykker, og håndtere consent-withdrawal. For SMB'er uden dedikeret udviklerkapacitet er besparelsen sjældent værd at tage risikoen for.
Sådan tester du dit eget banner på 10 minutter
Lav denne simple test på dit eget website nu:
Trin 1: Åbn dit website i en incognito-fane og hold DevTools åben (Network-fanen).
Trin 2: Hard-reload siden (Cmd+Shift+R / Ctrl+Shift+R).
Trin 3: Filtrer Network-fanen efter "3rd party" eller søg på specifikke domæner (google, facebook, doubleclick, hotjar). Tæl antallet af requests før du klikker noget i cookie-banneret. Tallet skal være 0 — eller kun dit eget domæne og din consent-leverandør.
Trin 4: Klik "Afvis alle". Reload igen. Tæl igen. Tallet skal stadig være 0.
Trin 5: Klik "Accepter alle". Reload. Nu skal dine tracking-requests dukke op.
Hvis trin 3 eller trin 4 viser mere end 0 tredjeparts-requests, har du et konkret problem — uanset hvor fint dit banner ser ud. Det er den tekniske virkelighed, Datatilsynet måler imod i deres tilsyn.
Fra tjekliste til handling
Har du gennemgået de 7 punkter og fundet huller, er næste skridt en struktureret fejlretning. Kør en gratis GDPR-scan for at få en teknisk baseline af dit nuværende setup — vi kører præcis den test, der er beskrevet ovenfor, på tværs af alle dine sider og opsummerer resultatet. For SMB-ejere, der vil forstå sammenhængen med resten af GDPR-billedet, er vores komplette SMB-guide det naturlige næste skridt. Og hvis du vil se, hvordan vi selv lever op til reglerne uden cookies og uden tracking, ligger det dokumenteret på saadan-er-vi-compliant.