Hvad er cookies, og hvorfor kan de spore dig?
Cookies forklaret: hvad de er, forskellen på første- og tredjeparts, session vs. persistent, og hvorfor de er relevante i en GDPR-sammenhæng.
Senest opdateret 7. juli 2026
Hvad er en cookie helt konkret?
En cookie er en lille tekstfil, som en hjemmeside beder din browser om at gemme, første gang du besøger den. Filen indeholder som regel ikke ret meget i sig selv — ofte bare et langt, tilfældigt id — men det id gør det muligt for hjemmesiden at genkende din browser, næste gang den sender en forespørgsel. Det er den mekanik, der ligger bag alt fra "husk mig"-funktioner til indkøbskurve og besøgsstatistik.
Det afgørende er, hvem der sætter cookien, og hvem der efterfølgende kan læse den igen. Som udgangspunkt sættes en cookie af det domæne, du rent faktisk besøger, og den kan kun læses tilbage af samme domæne. Men en hjemmeside er sjældent bygget udelukkende af sit eget indhold — den indlejrer typisk indhold, scripts og værktøjer fra andre leverandører, og hver af dem kan sætte deres egne cookies, samtidig med at siden loader. Det er her sondringen mellem førsteparts og tredjeparts bliver relevant.
Førsteparts- og tredjeparts-cookies
En førsteparts-cookie sættes af det domæne, du selv besøger, og kan kun læses af det domæne igen. Det er typisk den slags, der får siden til at fungere, som den skal — for eksempel at en webshop husker, hvad der ligger i din kurv, mens du browser videre.
En tredjeparts-cookie sættes derimod af et andet domæne end det, du besøger — som regel fordi siden har indlejret et element fra den tredjepart: en video, et "del"-ikon, en annonce eller et analyseværktøj. Den tredjepart kan læse sin egen cookie igen, hver gang du støder på et element fra samme leverandør, uanset hvilken hjemmeside du er på. Det er ikke i sig selv en fejl eller noget skjult — det er bare sådan teknologien er bygget til at fungere — men det betyder, at flere parter end den, du bevidst besøger, kan få adgang til oplysninger om dit besøg.
Session-cookies og persistente cookies
Cookies adskiller sig også ved, hvor længe de bliver liggende. En session-cookie har ingen fast udløbsdato — den lever, så længe browseren er åben, og forsvinder, når du lukker den helt ned. Den bruges typisk til ting, der kun giver mening inden for ét besøg, som at holde styr på, om du er logget ind, mens du klikker rundt.
En persistent cookie har derimod en indbygget udløbsdato og bliver liggende på din enhed, selv efter du har lukket browseren — fra få dage til flere år, afhængigt af hvordan den er sat op. Det er den type, der gør det muligt for en hjemmeside eller en tredjepart at genkende dig igen ved et senere besøg, dage eller uger efter det første.
Hvorfor cookies kan bruges til sporing på tværs af sider
Fordi en tredjeparts-cookie kan læses igen, hver gang du støder på et element fra samme leverandør, kan den samme cookie i praksis dukke op på mange forskellige hjemmesider, du besøger i løbet af en periode. Leverandøren ser ikke hver side isoleret — den ser den samme browser gå igen på tværs af dem, og kan derfor stykke et mønster sammen: hvilke sider du besøger, hvor ofte, og i hvilken rækkefølge. Det er selve princippet bag sporing på tværs af domæner, og det er en af grundene til, at cookies fylder så meget i en GDPR-sammenhæng.
Cookies er dog langt fra den eneste teknik, der bruges til det formål — sporingsscripts og usynlige pixels kan opnå noget lignende uden nødvendigvis at hedde "cookie". Det ser vi nærmere på i vores gennemgang af sporingsscripts.
Hvad reglerne kræver
Reglerne for cookies i Danmark er samlet i cookiebekendtgørelsen, som stiller et klart krav: der må ikke sættes eller læses oplysninger i en brugers udstyr, medmindre brugeren forinden har givet samtykke efter at have fået fyldestgørende information om formålet. Der er én central undtagelse — cookies, hvis eneste formål er at levere den tjeneste, brugeren selv aktivt har bedt om, kræver ikke samtykke. Alt, der rækker ud over det — statistik, personalisering, markedsføring — falder uden for undtagelsen.
Den tilhørende vejledning til bekendtgørelsen uddyber desuden, hvad et gyldigt samtykke forudsætter: det skal være en aktiv handling fra brugeren, og et forudafkrydset felt eller det at "gå videre" på siden kan ikke i sig selv udgøre et gyldigt samtykke. Samme krav om en frivillig, specifik, informeret og utvetydig tilkendegivelse går igen i EDPB's retningslinjer om samtykke under GDPR, som gælder på tværs af EU.
Værd at holde adskilt er, at cookie-samtykket og GDPR er to lag, der ofte spiller sammen, men ikke er det samme. Cookiebekendtgørelsen regulerer selve det at sætte og læse oplysninger i udstyret. Når de oplysninger, der indsamles den vej, kan bruges til at genkende en bestemt bruger over tid — hvilket ofte er tilfældet — bliver de samtidig personoplysninger efter GDPR, og så skal der også være et gyldigt behandlingsgrundlag for selve databehandlingen, hvor samtykke typisk er det nærliggende valg. De to krav gælder ved siden af hinanden, ikke i stedet for hinanden.
Hvor du kan læse de officielle regler
Selve cookiebekendtgørelsen og den tilhørende vejledning ligger hos Retsinformation, mens Digitaliseringsstyrelsen og Datatilsynet står bag den fælles cookievejledning, der forklarer reglerne i praksis. Datatilsynet har derudover en gennemgang af, hvornår oplysninger fra cookies også tæller som personoplysninger under GDPR, og EDPB's retningslinjer uddyber kravene til et gyldigt samtykke på EU-niveau. Alle fem kilder er samlet herunder, så du kan læse dem i deres fulde ordlyd.