GDPRscanner

Hvad er cookies, og hvorfor kan de spore dig?

Cookies forklaret: hvad de er, forskellen på første- og tredjeparts, session vs. persistent, og hvorfor de er relevante i en GDPR-sammenhæng.

Senest opdateret 7. juli 2026

En cookie er en lille tekstfil, som en hjemmeside beder din browser om at gemme, første gang du besøger den. Filen indeholder som regel ikke ret meget i sig selv — ofte bare et langt, tilfældigt id — men det id gør det muligt for hjemmesiden at genkende din browser, næste gang den sender en forespørgsel. Det er den mekanik, der ligger bag alt fra "husk mig"-funktioner til indkøbskurve og besøgsstatistik.

Det afgørende er, hvem der sætter cookien, og hvem der efterfølgende kan læse den igen. Som udgangspunkt sættes en cookie af det domæne, du rent faktisk besøger, og den kan kun læses tilbage af samme domæne. Men en hjemmeside er sjældent bygget udelukkende af sit eget indhold — den indlejrer typisk indhold, scripts og værktøjer fra andre leverandører, og hver af dem kan sætte deres egne cookies, samtidig med at siden loader. Det er her sondringen mellem førsteparts og tredjeparts bliver relevant.

Førsteparts- og tredjeparts-cookies

En førsteparts-cookie sættes af det domæne, du selv besøger, og kan kun læses af det domæne igen. Det er typisk den slags, der får siden til at fungere, som den skal — for eksempel at en webshop husker, hvad der ligger i din kurv, mens du browser videre.

En tredjeparts-cookie sættes derimod af et andet domæne end det, du besøger — som regel fordi siden har indlejret et element fra den tredjepart: en video, et "del"-ikon, en annonce eller et analyseværktøj. Den tredjepart kan læse sin egen cookie igen, hver gang du støder på et element fra samme leverandør, uanset hvilken hjemmeside du er på. Det er ikke i sig selv en fejl eller noget skjult — det er bare sådan teknologien er bygget til at fungere — men det betyder, at flere parter end den, du bevidst besøger, kan få adgang til oplysninger om dit besøg.

Session-cookies og persistente cookies

Cookies adskiller sig også ved, hvor længe de bliver liggende. En session-cookie har ingen fast udløbsdato — den lever, så længe browseren er åben, og forsvinder, når du lukker den helt ned. Den bruges typisk til ting, der kun giver mening inden for ét besøg, som at holde styr på, om du er logget ind, mens du klikker rundt.

En persistent cookie har derimod en indbygget udløbsdato og bliver liggende på din enhed, selv efter du har lukket browseren — fra få dage til flere år, afhængigt af hvordan den er sat op. Det er den type, der gør det muligt for en hjemmeside eller en tredjepart at genkende dig igen ved et senere besøg, dage eller uger efter det første.

Hvorfor cookies kan bruges til sporing på tværs af sider

Fordi en tredjeparts-cookie kan læses igen, hver gang du støder på et element fra samme leverandør, kan den samme cookie i praksis dukke op på mange forskellige hjemmesider, du besøger i løbet af en periode. Leverandøren ser ikke hver side isoleret — den ser den samme browser gå igen på tværs af dem, og kan derfor stykke et mønster sammen: hvilke sider du besøger, hvor ofte, og i hvilken rækkefølge. Det er selve princippet bag sporing på tværs af domæner, og det er en af grundene til, at cookies fylder så meget i en GDPR-sammenhæng.

Cookies er dog langt fra den eneste teknik, der bruges til det formål — sporingsscripts og usynlige pixels kan opnå noget lignende uden nødvendigvis at hedde "cookie". Det ser vi nærmere på i vores gennemgang af sporingsscripts.

Hvad reglerne kræver

Reglerne for cookies i Danmark er samlet i cookiebekendtgørelsen, som stiller et klart krav: der må ikke sættes eller læses oplysninger i en brugers udstyr, medmindre brugeren forinden har givet samtykke efter at have fået fyldestgørende information om formålet. Der er én central undtagelse — cookies, hvis eneste formål er at levere den tjeneste, brugeren selv aktivt har bedt om, kræver ikke samtykke. Alt, der rækker ud over det — statistik, personalisering, markedsføring — falder uden for undtagelsen.

Den tilhørende vejledning til bekendtgørelsen uddyber desuden, hvad et gyldigt samtykke forudsætter: det skal være en aktiv handling fra brugeren, og et forudafkrydset felt eller det at "gå videre" på siden kan ikke i sig selv udgøre et gyldigt samtykke. Samme krav om en frivillig, specifik, informeret og utvetydig tilkendegivelse går igen i EDPB's retningslinjer om samtykke under GDPR, som gælder på tværs af EU.

Værd at holde adskilt er, at cookie-samtykket og GDPR er to lag, der ofte spiller sammen, men ikke er det samme. Cookiebekendtgørelsen regulerer selve det at sætte og læse oplysninger i udstyret. Når de oplysninger, der indsamles den vej, kan bruges til at genkende en bestemt bruger over tid — hvilket ofte er tilfældet — bliver de samtidig personoplysninger efter GDPR, og så skal der også være et gyldigt behandlingsgrundlag for selve databehandlingen, hvor samtykke typisk er det nærliggende valg. De to krav gælder ved siden af hinanden, ikke i stedet for hinanden.

Hvor du kan læse de officielle regler

Selve cookiebekendtgørelsen og den tilhørende vejledning ligger hos Retsinformation, mens Digitaliseringsstyrelsen og Datatilsynet står bag den fælles cookievejledning, der forklarer reglerne i praksis. Datatilsynet har derudover en gennemgang af, hvornår oplysninger fra cookies også tæller som personoplysninger under GDPR, og EDPB's retningslinjer uddyber kravene til et gyldigt samtykke på EU-niveau. Alle fem kilder er samlet herunder, så du kan læse dem i deres fulde ordlyd.

Bemærk

GDPRscanner forklarer mekanikken og henviser til de officielle kilder. Vi giver ikke en juridisk vurdering af din konkrete situation — tjek altid den aktuelle vejledning hos kilden, og søg juridisk rådgivning ved tvivl.

Officielle kilder

Denne side henviser til følgende officielle kilder. Tjek altid den aktuelle version hos kilden.

Ofte stillede spørgsmål

Er en cookie en personoplysning?

Det kan den godt være. En cookie behøver ikke indeholde et navn for at være en personoplysning — det afgørende er, om den gør det muligt at genkende en bestemt browser eller enhed over tid. Datatilsynet peger på, at selv et anonymt id i en cookie normalt tæller som en personoplysning, fordi det knytter aktivitet til en bestemt person, uden at man kender navnet.

Hvad er forskellen på nødvendige og ikke-nødvendige cookies?

Nødvendige cookies er dem, der er en teknisk forudsætning for den funktion, brugeren selv har bedt om — for eksempel at en indkøbskurv husker sit indhold, mens man handler. Alt andet, herunder statistik, personalisering og markedsføring, regnes som ikke-nødvendigt, uanset hvor nyttigt eller diskret det opleves.

Skal jeg have samtykke til alle cookies?

Kravet i cookiebekendtgørelsen er samtykke, før der sættes eller læses oplysninger via cookies på brugerens udstyr — med en undtagelse for cookies, der alene er teknisk nødvendige for den tjeneste, brugeren har efterspurgt. Statistik- og markedsføringscookies falder uden for undtagelsen og kræver derfor samtykke forud.

Hvad er en tredjeparts-cookie?

Det er en cookie, der sættes af et andet domæne end det, brugeren besøger — typisk af indlejret indhold eller scripts fra en ekstern leverandør. Fordi tredjeparten kan genkende sin egen cookie på tværs af alle de sider, den er indlejret på, kan den samme cookie i praksis følge en browser fra side til side.

Hvor længe kan en cookie gemme oplysninger?

Det afhænger af typen. En session-cookie forsvinder, når browseren lukkes. En persistent cookie har i stedet en indbygget udløbsdato og kan blive liggende i alt fra få dage til flere år, medmindre brugeren selv sletter den undervejs.