Sådan overholder du de danske cookieregler på dit website

Torben Heikel Vinther | Opdateret 25. september 2024 |

Sådan overholder du cookiereglerne på dit website i 2020

Du synes sikkert at de allestedsnærværende cookiebannere mest af alt bare er irriterende, men du er nødt til at forholde dig til dem. Både som ejer af et website og som besøgende på andres.

Der findes en masse love, regler og mindre pædagogiske vejledninger om, hvordan og hvorfor cookies overhovedet skal fylde så meget. Jeg giver dig her et overblik over, hvordan jeg mener cookiereglerne skal overholdes.

Og til sidst får du et tip til, hvordan du nemt kan få et cookiebanner på dit WordPress website, så du kan indhente gyldige samtykker fra dine besøgende.

Hvis du har brug for et super hurtigt overblik, så kan de nye og gældende cookieregler koges ned til at dit website skal sikre:

  • at den besøgendes samtykke er et frivilligt og aktivt tilvalg
  • at den besøgende informeres tydeligt om hvilke forskellige formål vedkommendes persondata bliver brugt til
  • at den besøgende nemt kan give samtykke til nogle formål og ikke andre
  • at den besøgende nemt kan afstå fra at give samtykke
  • at det bliver dokumenteret hvad den besøgende har givet samtykke til og hvordan samtykket er blevet indhentet

Den måde jeg sikrer mig at Webfronten overholder cookiereglerne på, er bl.a. ved at jeg har implementeret et samtykkebanner nederst på alle websitets sider:

Webfrontens cookiebanner

Hvad er en cookie, og hvorfor er det vigtigt at forstå?

En cookie er en lille tekstfil, som et website kan gemme på den besøgendes harddisk.  Cookies tillader et website at gemme oplysninger på brugerens computer og senere hente dem igen. Oplysningerne gemmes som et såkaldt navne-værdipar.

Et website genererer for eksempel muligvis et unikt ID-nummer for hver besøgende og gemmer ID-nummeret på hver brugers computer ved hjælp af en cookiefil. Du finder typisk en fortegnelse over de cookies, der er blevet gemt, inde under indstillinger på den internetbrowser du anvender.

For eksempel har jeg besøgt eksempel.dk, og websitet har placeret en cookie på min computer. Cookiefilen til eksempel.dk indeholder følgende oplysninger:

UserID Q4T3BA5CH0762082F www.eksempel.dk/

Eksempel.dk har altså gemt et simpelt navne-værdipar. Navnet på dette par er UserID, og værdien er Q4T3BA5CH0762082F. Den første gang jeg besøgte eksempel.dk, tildelte websitet mig en unikt ID-værdi og gemte den på min computer.

Det her er blot en meget simpel cookie. En cookie kan indeholde mange andre oplysninger, lige fra hvornår cookieen blev gemt og hvilket website jeg kom fra, til  hvad jeg har lagt i indkøbskurven og hvad jeg har klikket på.

Meget forenklet kan man sige at en cookie kan bruges af et website til at gøre brugernes oplevelse mere effektiv. Men man kan også sige, at en cookie kan give websitet mulighed for at blive mere effektiv, fordi man får adgang til en række værdifulde data om de besøgende og potentielle kunder.

Derfor er det bestemt ikke lige gyldigt, hvilke cookies der bliver gemt på din computer, når du besøger et website. Der er næsten ingen grænser for, hvad man kan lave af smarte markedsføringstricks, og trods nye cookieregler så er det bestemt ikke alle websites, der er lige åbne omkring, hvilke cookies de gemmer og hvordan du kan undgå det.

De 4 væsentligste cookietyper

Der findes en række forskellige cookies, som alle har det til fælles at de indsamler data om den besøgende. Man inddeler dem typisk i 4 forskellige cookietyper, som det er vigtigt for dig at forstå.

Derudover skelner man desuden mellem førstepartscookies og tredjepartscookies, dvs. cookies som dit website selv sætter og cookies, som bliver sat af andre end dit website selv, som f.eks. Google eller Facebook.

Der findes desværre også fjerdepartscookies (og dybereliggende femte-, sjette-, syvende- eller ottendepartscookies), der gemmes i det skjulte af tredjepartscookies, og de virker derfor som trojanske heste.

Nødvendige tekniske cookies

Tekniske cookies er nødvendige for at langt de fleste websites overhovedet kan fungere. Det er fx de cookies der gør at du ikke behøver at logge ind med dit brugernavn og adgangskode hver gang du besøger et website, eller holder styr på de varer, du har lagt i indkøbskurven i en webshop.

De tekniske cookies har ingen betydning for dit online privatliv, eftersom der fx ikke registreres hvad du søger efter på andre websites. I cookiereglerne er der heller ikke krav om, at websites skal bede om dit samtykke for at gemme disse tekniske cookies.

Personaliserede præference-cookies

Præference-cookies indsamler oplysninger om dit digitale fodspor på websitet, så websitet har mulighed for at give dig målrettet, relevant og personaliseret indhold. Trackingen af dit digitale fodspor bliver imidlertid ikke brugt til hverken webstatistik eller markedsføring. Det er kun til intern brug så at sige, men de er ikke nødvendige for at websitetkan fungere.

Disse cookies bliver derfor ofte set som en brugerservice, men websitet skal informere om at disse cookies bliver gemt og indhente dit samtykke før de gør det.

Statistik-cookies

Statistik-cookies indsamler også dit digitale spor gennem dit besøg på websitet, men her bliver det brugt til analyser af, hvad der fx er mest populært, hvor mange der besøger sitet og hvor de besøgende kommer fra osv. Det kan webejeren så bl.a. bruge til at forbedre brugervenligheden, optimere designet og effektiviteten af sitet.

Statistik-cookies har ofte ingen betydning for dit online privatliv, eftersom der fx ikke registreres hvad du søger efter på andre websites, men det er alligevel et krav at websitet informerer om og beder om samtykke til brug af disse cookies.

Marketing-cookies

Marketing-cookies indsamler oplysninger om dine bevægelser på websitet, og oplysningerne bliver brugt til at skabe et overblik over dine interesser, vaner og aktiviteter. Det er værdifuld information, hvis websitet gerne vil målrette annoncer til besøgende, når de er på andre websites og sociale platforme. En Facebook Pixel er fx en marketing-cookie, der gør det muligt at vise dig reklamer på Facebook for produkter, du har kigget på i en webshop.

Det er et krav at websitet informerer om og beder om samtykke til brug af marketing-cookies.

Hvad står der i cookiereglerne?

Al denne snak om cookies handler i virkeligheden om at du som internetbruger skal vide, hvad de websites du besøger ved om dig – både i fuld offentlighed og i det skjulte. Som person bærer du rundt på en masse digitale oplysninger, som kan være nyttig for både dig og websiteejeren, men det kan også bruges og misbruges til ting, som du som besøgende måske ikke ønsker.

Derfor er der for lang tid siden blevet defineret nogle love og regler for, hvordan man som websiteejer må anvende cookies. I kølvandet på EU-loven om databeskyttelse GDPR (eller persondataforordningen), som trådte i kraft i 2018, opdaterede Digitaliseringsstyrelsen deres cookievejledning i december 2019.

Erhvervsstyrelsens vejledning gav desværre ikke websiteejerne helt klar besked om, hvad man skal, må og ikke må, når man anvender cookies. Uklarheden blev ikke bedre af, at der blev henvist til eksempler på cookiesamtykkebannere som ikke stemte overens med vejledningens foreskrifter! Jeg har forsøgt i flere omgange at få Erhvervsstyrelsen i tale men desværre forgæves.

Heldigvis kom en anden offentlig myndighed på banen i februar 2020, hvor Datatilsynet udgav vejledningen “Behandling af personoplysninger om hjemmesidebesøgende“. Denne vejledning var i mine øjne mere handlingsanvisende og matchede i øvrigt min egen tolkning af cookiereglerne.

Der er (ofte) tale om behandling af persondata, når du anvender cookies

Helt overordnet tager Datatilsynets vejledning udgangspunkt i det faktum, at der næsten altid indsamles personoplysninger, når du besøger et website. Det kan fx være din ip-adresse, annoncetags eller lokationsinfo, som ikke i sig selv behøver at være personoplysninger, men når de kombineres med andre oplysninger øges sandsynligheden for det.

Derfor skal du som ejer af et website opfatte brugen af cookies som det samme som at du behandler personoplysninger. Deraf følger desuden at du som websiteejer er forpligtet til at leve op til Databeskyttelsensforordningens (GDPR) krav, og at du derfor er ansvarlig for at sikre at indsamling og behandling af persondata sker inden for lovens rammer.

Krav til det samtykke du skal indhente

Med Datatilsynets vejledning i hånden får du tydelige anvisninger på, hvordan dit cookiebanner må se ud (og ikke må se ud).

Et af de helt centrale aspekter – og nok også det mest synlige i hele debatten om cookies – handler om, hvordan du som websiteejer indhenter samtykke fra den besøgende til at sætte de forskellige cookies. Først og fremmest skal du bede om samtykke, inden du indsamler så meget som en enkelt cookiekrumme, men der er også en række krav til, hvordan samtykket skal være sat op.

Et samtykke er en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling. Samtykke fra de(n) registrerede skal indhentes, inden den dataansvarlige påbegynder behandling af de oplysninger, som samtykket angår.

Datatilsynet i vejledningen “Behandling af personoplysninger om hjemmesidebesøgende”

Samtykket skal være frivilligt

For det første skal samtykket være frivillig. Det betyder at den besøgende skal have et reelt eller frit valg. Hvis et cookiebanner fx kun giver den besøgende mulighed for at klikke på en ok-knap, så er der ikke tale om et frit valg.

Hvis et website ønsker at anvende cookies til flere forskellige formål (fx både statistik og markedsføring), så skal princippet om “granularitet” desuden være opfyldt. Det betyder at den besøgende frit skal kunne vælge, hvilke af formålene man ønsker at give samtykke. Et cookiebanner kan derfor heller ikke nøjes med at have én enkelt ok-knap, der giver samtykke til alle formål på én gang.

DRs cookiebanner har kun én knap
DRs cookiebanner har kun én knap.

Samtykket skal være specifikt

Samtykket skal også være specifikt, forstået på den måde at det skal være præcist og velafgrænset. Samtykket må ikke være generelt udformet og med en upræcis angivelse af formålet med cookien. Den besøgende skal vide helt specifikt, hvilke personoplysninger der vil blive behandlet.

Det gælder desuden at hvis websiteejeren på et senere tidspunkt vælger at anvende cookien til et andet formål, så skal der indhentes et nyt samtykke fra den besøgende.

Samtykket skal være informeret

Den besøgende skal også være klar over, hvad der gives samtykke til. For at et samtykke er informeret skal den besøgende som minimum oplyses om følgende:

  • Den dataansvarliges identitet
  • Formålet med den påtænkte behandling
  • Hvilke typer oplysninger, der vil blive behandlet
  • Rettet til at trække samtykke tilbage

Du kan godt have et informeret samtykke, hvis websitet viser en liste dataansvarlige mv som en fold-ud-liste som kun er ét klik væk for den besøgende. Det er derimod ikke tilstrækkeligt, hvis der blot står at der foregår indsamling og behandling.

Det er selvfølgelig indlysende at informationen skal formidles i et klart og enkelt sprog, der hverken er unødig teknisk eller juridisk.

Samtykket skal være aktivt

Ved aktiv samtykke skal det forstås sådan, at der kræves at samtykket sker som en utvetydig viljestilkendegivelse. Et aktivt samtykke kan fx gives ved at den besøgende sætter et kryds i et felt.

Passivitet eller fortsat brug af websitet kan derimod ikke opfattes som et aktivt tilvalg, og er derfor ikke et gyldigt samtykke. Det er derfor vigtigt, at cookiebanneret er udformet så det er tilpas forstyrrende for den besøgende, og tilgængelig på alle platforme, så den besøgende ikke overser banneret.

Der er heller ikke tale om et aktivt samtykke, hvis der anvendes forudafkrydsede felter. Denne tilgang er dog desværre stadig meget udbredt på mange danske websites.

DRs cookiebanner benytter forudafkrydsede felter
DRs cookiebanner benytter forudafkrydsede felter.

Den besøgende skal have adgang til at afstå fra at give samtykke og til at trække samtykket tilbage

Et samtykke skal være lige så let at trække tilbage, som det er at give. Det kan løses ved at der på websitet fx er et link i bunden af alle sider, hvor den besøgende kan ændre sit samtykke eller trække det tilbage.

I bunden af alle sider på Webfrontens website kan den besøgende redigere sit cookie-samtykke.
I bunden af alle sider på Webfrontens website kan den besøgende redigere sit cookie-samtykke.

Det skal som sagt være lige så let at afstå fra overhovedet at give samtykke i første omgang, som det er at give det. Det stiller bl.a. nogle visuelle krav til, hvordan cookiebanneret ser ud. På Webfrontens website har jeg fx løst det ved at det er lige så let af afstå fra at give samtykke, som det er at give det.

Webfrontens cookiebanner
Det er lige så let af afstå fra at give samtykke, som det er at give det på Webfrontens website.

Du skal kunne dokumentere den besøgendes samtykke

Som et sidste krav i forhold til cookiesamtykket, så skal du som dataansvarlig for dit website kunne påvise, at dine besøgende har givet deres samtykke til at websitet indsamler og behandler deres persondata.

Det betyder at du skal kunne fremvise dokumentation for det enkelte samtykke, der er blevet indhentet, og du skal være i stand til at påvise at dit websites samtykkeløsning opfylder alle de betingelser, der skal til for at kunne tale om et gyldigt samtykke.

Konkret skal du kunne dokumentere:

  • tidspunktet for hvornår den besøgende afgav samtykke
  • hvilken type eller version af samtykkeløsningen, der blev anvendt til at indhente samtykket
  • hvilke formål med behandlingen af personoplysninger, den besøgende har givet samtykke til.

Kravene til cookiesamtykke udfordrer din markedsføring og statistik

Det kan måske virke lidt omfattende med alle de krav til det samtykke, som du skal indhente fra dine besøgende. Og som jeg startede med at antage, så kan det også være at du mest af alt bare synes cookie-popuppen er irriterende.

Som tidligere nævnt behøver du ikke at indhente samtykke fra dine besøgende, hvis du udelukkende anvender nødvendige cookies som fx din indkøbskurv. Men alle andre cookies må du først sætte efter at den besøgende har givet sit samtykke til det. Du må altså fx ikke sætte en statistikcookie i det øjeblik en besøgende lander på dit website, og så bare fjerne den igen, hvis vedkommende ikke giver samtykke til det. Det har selvfølgelig konsekvenser for dine muligheder for at lave markedsføring på dit website!

Fordi du kun må sætte statistik- og markedsføringscookies efter at den besøgende har givet sit samtykke, så vil du alt andet lige nok ikke få den samme mængde data, som du ellers ville have fået, hvis cookiereglerne ikke havde været der. Du bør i hvert fald regne med at en del besøgende vælger ikke at give sit samtykke til andet end de nødvendige cookies.

Hvis din markedsføringsstrategi i dag primært omhandler brugen af fx Facebook Pixels, så kan det godt være det vil være en god idé at tænke i supplerende alternativer. Det kunne fx være permission marketing, hvor du gør brug af salg og uddannelse via e-mail-nyhedsbreve. Det kræver ikke nødvendigvis cookies, men selvfølgelig skal du stadig have den besøgendes samtykke (og e-mailadresse) for at kunne sende e-mails til dem.

Sådan får du et cookiebanner på dit WordPress website

I starten lovede jeg dig et tip til, hvordan du nemt kan få et cookiebanner på dit WordPress website, så du kan indhente gyldige samtykker fra dine besøgende. Det kommer her: Cookiebot!

Det danske firma Cybot står bag Cookiebot, som er en løsning, der gør det enkelt for websites at blive kompatible med EU-lovgivningen, når det kommer til cookies og online sporing. Cookiebots samtykkeløsning gør dig i stand til at leve op til alle Datatilsynets skærpede krav, samt de allerede eksisterende krav fra den europæiske databeskyttelsesforordning (GDPR).

Cookiebot finder automatisk alle cookies og lignende trackere på dit website og blokerer dem, indtil dine besøgende har givet sit samtykke. Du bestemmer selv, i hvor høj grad dit cookiebanner skal leve op til alle cookiereglerne, men min anbefaling er at du gør som Webfronten, så du lever op til de strengeste krav.

Cookiebot fås både i en gratisudgave og en betalingsudgave. I gratisudgaven kan du dog ikke tilpasse og personalisere dit cookiebanner og cookiedeklarationen, tilvælge flere sprog, få rapporteringer på e-mail, eksportere data, benytte geolokation, angive massesamtykke, se samtykke-statistik, samt et par andre funktioner. Gratisudgaven gælder desuden maksimalt for 1 domæne med under 100 undersider, så det egner sig bedst til mindre websites.

Jeg anbefaler at du investerer i betalingsversionen af Cookiebot, fordi du på den måde bedre kan leve op til alle Datatilsynets skærpede krav og samtidig style og tilpasse cookiebanneret og din cookiedeklaration.

Lad mig sætte Cookiebot op for dig

Hvis du ikke har mod på selv at sætte Cookiebot op på dit WordPress website, så kan jeg gøre det for dig. Jeg tilbyder dig følgende:

  • Installation af betalingsudgaven af Cookiebot
  • Tilpasning af cookiebanner med dit firmalogo og farver
  • Opsætning af cookiebanner så det overholder Datatilsynets skærpede krav (som på Webfrontens website) eller efter dine egne ønsker
  • Kategorisering af fundne cookier
  • Oprettelse af side med cookiepolitik og cookiedeklaration
  • Når Cookiebot er blevet sat op, sender jeg et link til oprettelse af månedligt abonnement for brug af Cookiebot.

Torben Heikel Vinther

Jeg ejer webbureauet Webfronten, hvor jeg udvikler websites, tilbyder vedligeholdelsesaftaler og deler ud af min viden og erfaring om WordPress.

Kommentarer

Skriv en kommentar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *


5 nødvendige tips til at holde dit website sikkert

Ved du hvad det kræver at vedligeholde dit website? Download min guide og forstå hvordan du holder dit WordPress-website sikkert og lær om den regelmæssige vedligeholdelse, som er nødvendigt for hele tiden at holde dit website sikkert.

5 nødvendige tips til at holde dit website sikkert
Scroll to Top