Tracking-scripts: hvad de indsamler, og hvorfor de kræver samtykke
Analytics- og tag-manager-scripts forklaret: hvad de læser fra dine besøgende, hvordan de deler data med tredjeparter, og hvad reglerne kræver.
Senest opdateret 6. juli 2026
Hvad et tredjeparts-script er, og hvorfor det kører med fuld adgang til siden
Når en hjemmeside loader, henter browseren ikke kun sidens eget indhold — den henter typisk også en række scripts fra eksterne leverandører: analyseværktøjer, tag managers, chat-widgets, bookingmoduler og andet indlejret funktionalitet. Et script adskiller sig fra et almindeligt indhold-element som et billede ved, at det er kørende kode. Det kan reagere på, hvad brugeren gør på siden, sende oplysninger videre af sig selv, og gøre det gentagne gange, uden at brugeren foretager sig noget aktivt.
Det afgørende er, at et script, der er lagt ind på en side, som udgangspunkt kører med samme adgang som sidens egen kode. Browseren skelner ikke meningsfuldt mellem "sidens eget script" og "et tredjeparts-script", når først begge er indlæst i samme side — de deler den samme kontekst og kan i praksis læse det samme. Det betyder, at den, der lægger et tredjeparts-script ind på sin side, reelt giver en ekstern leverandør adgang til at observere og handle på siden, i det øjeblik siden vises.
Hvad analytics/tag managers typisk indsamler
Analyseværktøjer og tag managers er bygget til at måle og videreformidle, hvad der sker på en side, og de typer oplysninger, de læser, går ofte videre end det, man umiddelbart tænker på som "statistik". Datatilsynets vejledning om behandling af oplysninger om hjemmesidebesøgende beskriver et typisk eksempel: et analyseværktøj, der registrerer den besøgendes IP-adresse, oplysninger om browseren, cookie-identifikatorer, hvilke undersider der besøges, og hvor længe.
En tag manager adskiller sig fra et enkelt analyseværktøj ved selv at fungere som en slags styringslag: det er et script, hvis opgave er at loade og administrere andre scripts ud fra regler, i stedet for at hvert værktøj skal indsættes i sidens kode direkte. Det gør det hurtigt at tilføje eller ændre, hvilke værktøjer der kører — men det betyder samtidig, at det samlede billede af, hvad der indsamles via siden, kan ændre sig, uden at nogen redigerer selve sidens synlige kode. Overblikket over, hvad der reelt loades og indsamles, kræver derfor et aktivt kig på, hvad tag manageren er sat op til at gøre, ikke kun på sidens kildekode.
Hvordan scripts kan efterlade cookies og sende data til tredjeparter
Et analyse- eller tracking-script sætter typisk sin egen cookie eller en tilsvarende identifikator, som gør det muligt for leverandøren at genkende den samme browser, næste gang scriptet kører — enten på samme side eller på en helt anden side, hvor det samme script er indlejret. De oplysninger, scriptet indsamler undervejs, bliver som regel ikke liggende på hjemmesidens egen server. De sendes videre til leverandørens infrastruktur, hvor de behandles og opbevares, fordi det er dér analysen eller funktionaliteten reelt finder sted.
Det betyder, at data om en besøgende typisk forlader den hjemmeside, den blev indsamlet på, og havner hos en tredjepart. Ligger den tredjeparts servere uden for EU/EØS, er der desuden tale om en overførsel til et tredjeland, hvilket er et selvstændigt regelsæt oven i selve spørgsmålet om samtykke til at indsamle oplysningerne i første omgang. De to lag hænger sammen, men er ikke det samme spørgsmål.
Hvorfor samtykke som udgangspunkt skal indhentes før scriptet loader
ePrivacy-reglerne, som ligger til grund for kravet om samtykke til cookies og lignende teknologier, er formuleret om selve handlingen at gemme eller læse oplysninger i en brugers udstyr — ikke om, hvad oplysningerne bagefter bruges til. Kravet er derfor knyttet til det tidspunkt, hvor scriptet rent faktisk gør noget ved udstyret, og ikke til et senere tidspunkt, hvor dataene måtte blive analyseret.
EDPB har i sine retningslinjer om den tekniske afgrænsning af reglen uddybet, at den gælder bredt for sporingsteknikker — ikke kun for klassiske cookies, men også for eksempelvis URL- og pixel-baseret tracking, sporing alene baseret på IP-adresse og andre metoder, der opnår en tilsvarende genkendelse af en bruger over tid. Et analyse- eller tag manager-script, der begynder at indsamle den slags oplysninger, i det øjeblik det loader, falder derfor ind under samme udgangspunkt: den, der er ansvarlig for siden, skal have et gyldigt grundlag på plads, før scriptet sættes i gang — ikke først, når det allerede har kørt.
Når de indsamlede oplysninger efterfølgende udgør personoplysninger, gælder desuden GDPR's krav om et behandlingsgrundlag for selve behandlingen. Databeskyttelsesforordningens artikel 6 lister de grundlag, en behandling kan hvile på, hvoraf samtykke er ét af dem. De to regelsæt — reglen om adgang til udstyret og reglen om behandlingsgrundlag for personoplysninger — gælder ved siden af hinanden, og begge skal være opfyldt, når et script både læser fra udstyret og efterfølgende behandler det, det finder.
Hvor du kan læse de officielle regler
Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende gennemgår, hvilke oplysninger analyseværktøjer typisk indsamler, og hvordan rollefordeling og behandlingsgrundlag hænger sammen. EDPB's retningslinjer om den tekniske afgrænsning af ePrivacy-reglens artikel 5(3) uddyber, hvilke sporingsteknikker der er omfattet, ud over klassiske cookies. Databeskyttelsesforordningens artikel 6 hos EUR-Lex fastlægger de behandlingsgrundlag, en behandling af personoplysninger kan hvile på. Alle tre kilder er samlet herunder, så du kan læse dem i deres fulde ordlyd.