Her kan du læse et uddrag fra vejledningen om bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr.
Det udslagsgivende for, om du skal forholde dig til cookiebekendtgørelsen er, om du lagrer eller tilgår allerede lagrede oplysninger på brugernes udstyr. Denne vejledning erstatter den tidligere cookievejledning nr. 10189 af 10. december 2019. Vejledningen har til formål at understøtte reglerne i bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr (Cookiebekendtgørelsen).
Vejledningen er udarbejdet i samarbejde med Datatilsynet og har til formål at gennemgå og forklare de væsentligste regler i cookiebekendtgørelsen og databeskyttelsesreglerne, som man skal være opmærksom på, hvis man f.eks. tilbyder en hjemmeside eller en app og i den forbindelse bruger cookies og lignende teknologier.
Da Digitaliseringsstyrelsen fører tilsyn med cookiebekendtgørelsen, vil nedenstående være et uddrag af vejledningen, som er relevant for Digitaliseringsstyrelsens ressort.
Den fulde vejledning kan læses her eller ved at følge linket i boksen til højre.
Seneste opdatering 16. maj 2025
Cookiebekendtgørelsen er teknologineutrale. Cookiebekendtgørelsen har til formål at beskytte brugere mod uretmæssig lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret, i brugerens terminaludstyr (herefter ”udstyr”). Med andre ord er formålet at beskytte den del af brugerens privatsfære, der udgøres af brugerens enheder. Derfor gælder reglerne også f.eks. ved adgang til oplysninger, der gemmes på brugerens bil, IoT-devices mv. Det betyder, at bekendtgørelsen ikke alene er rettet mod cookies, men også andre typer af teknologier.
Ifølge cookiebekendtgørelsen, hvis du indsamler oplysninger om brugerne af din tjeneste gennem sporingsteknologier, skal du som udgangspunkt indhente brugerens samtykke til dette. Det gælder også, hvor tredjeparter gennem cookies og lignende teknologier indsamler oplysninger om brugerne på din tjeneste – også selvom du ikke selv får adgang til de indsamlede oplysninger. Hvis du anvender værktøjer og indhold, som f.eks. skrifttyper, billedmateriale, korttjenester, statistikprogrammer mv., der udbydes af tredjeparter, kan disse tredjeparter ofte indsamle eller få adgang til oplysninger om brugerne af din tjeneste.
Reglerne omfatter indsamling af eller adgang til oplysninger på brugerens udstyr. Udstyr kan være computere, smartphones, tablets, smartwatches og andre IoT-enheder såsom smart fridges. Der er tale om et område under konstant udvikling, og det skal derfor ikke forstås som en udtømmende liste. I praksis omfatter ”udstyr” også brugerens browser, idet browseren vurderes at være uløseligt forbundet med brugernes udstyr.
Du skal dog ikke indhente et samtykke fra brugeren, når du anvender cookies og lignende teknologier, som er teknisk nødvendige for at få en funktionalitet på din tjeneste til at virke.
Cookiebekendtgørelsen stiller krav om, at brug af cookies og lignende teknologier som udgangspunkt kun må ske efter samtykke fra brugerne. Du skal derfor indhente samtykke, hvis du bruger cookies og lignende teknologier til f.eks. generere besøgsstatistik, eller vise personaliserede annoncer.
Cookies og lignende teknologier kan dog anvendes uden samtykke i det omfang, teknologien er teknisk nødvendig for, at tjenesten virker efter hensigten, og de indsamlede oplysninger ikke anvendes til andre formål end til at sikre tjenestens funktionalitet.
Der gælder ingen specifik tidsfrist for, hvor længe et samtykke er gyldigt. Det afhænger af sammenhængen, omfanget af det oprindelige samtykke og brugernes forventninger. Et samtykke kan bortfalde efter en vis tidsperiode og skal derfor med jævne mellemrum indhentes på ny.
Hvis du ændrer, hvilke cookies mv., som du bruger og til hvilke formål, gælder det oprindelige samtykke heller ikke længere, og du skal også her indhente et nyt. Det kan være tilfældet, hvor du f.eks. ønsker at bruge de indsamlede personoplysninger til andre formål end det oprindelige, eller hvor du ønsker at videregive personoplysninger til nye tredjeparter.
For at være gyldigt skal et samtykke opfylde en række betingelser. Betingelserne skal sikre, at brugerne har kontrol over deres personoplysninger, og at kontrollen ikke bliver illusorisk.
Et gyldigt samtykke er en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra brugeren, hvor brugeren accepterer, at du og eventuelle tredjeparter indsamler og behandler personoplysninger om vedkommende. Et gyldigt samtykke skal desuden kunne dokumenteres i forhold til, hvad samtykket omfatter, hvornår det er afgivet, og hvilken samtykkeløsning der blev anvendt. Det skal også kunne trækkes tilbage lige så let, som det er givet.
Samtykke skal indhentes fra brugeren, inden du indsamler og behandler oplysninger ved brug af cookies og lignende teknologier, dvs. inden du f.eks. placerer cookies i brugerens browser.
Et samtykke skal være frivilligt. Årsagen hertil er, at brugeren skal kunne foretage et valg og have kontrol over sine oplysninger.
Giver du ikke brugeren et reelt eller frit valg, vil samtykket ikke være frivilligt. Du skal derfor give brugeren en mulighed for at afslå brugen af cookies og lignende teknologier. Det skal altid være tilsvarende let at afstå fra at give samtykke til behandling af sine oplysninger, som det er at give det.
At samtykket skal være specifikt indebærer bl.a., at samtykket skal være præcist og velafgrænset. Din samtykkeløsning må derfor ikke være generelt udformet eller uden en præcis angivelse af formålene med behandlingen af oplysninger, og hvilke oplysninger der vil blive behandlet.
Ønsker du at behandle oplysninger til andre formål end det, brugerne oprindeligt har givet samtykke til, skal du indhente et nyt samtykke, der omfatter de nye formål.
Samtykket skal være informeret, hvilket betyder, at brugerne skal vide, hvad de giver samtykke til. Du skal derfor, inden du indhenter samtykke, informere brugerne om bestemte elementer, der er afgørende for, at de kan træffe et valg. Hvis ikke du giver tilstrækkelige oplysninger, bliver brugernes kontrol illusorisk, og samtykket vil derfor være ugyldigt.
Du skal i forbindelse med indhentelsen af samtykke som minimum informere om din (og eventuelle samarbejdspartneres) identitet, formålene med behandlingen og typen af oplysninger, der vil blive indsamlet og behandlet. Du skal også informere om retten til at trække et samtykke tilbage.
Et samtykke kræver en utvetydig viljestilkendegivelse ved en erklæring eller klar bekræftelse fra brugerne. Samtykke skal dermed gives ved en aktiv handling eller erklæring.
Dette betyder, at du ikke kan bruge cookies og lignende teknologier på baggrund af, at brugerne fortsat anvender din tjeneste. Dette vil ikke udgøre et gyldigt samtykke, eftersom det ikke vil udgøre en aktiv handling, at brugeren forsat bruger tjenesten. Samtykket vil dermed være ugyldigt, og din anvendelse af teknologierne vil være ulovlig.
Samtykket er heller ikke udtryk for utvetydig viljestilkendegivelse, hvis du f.eks. anvender forudafkrydsede felter og on-sliders i din samtykkeløsning, idet brugerne ikke giver samtykke ved en aktiv handling. Samtykket vil derfor i sådanne tilfælde heller ikke være gyldigt.
Generel accept af dine almindelige betingelser og vilkår kan heller ikke opfattes som en utvetydig viljestilkendegivelse, da brugeren let vil kunne overse anmodningen om samtykke.
Du skal sikre dig, at det til enhver tid er lige så let for brugerne at trække deres samtykke tilbage, som det var at give det. Brugerne skal samtidig have mulighed for at trække deres samtykke tilbage, uden at det er til skade for dem. Det betyder bl.a., at brugerne let skal kunne tilbagekalde samtykket uden betaling af gebyrer.
I praksis kan du sikre adgangen til at trække samtykke tilbage ved f.eks. at placere et tydeligt og sigende link i toppen eller bunden af din hjemmeside, eller ved at have et fast ikon, som kan tilgås fra alle undersider på hjemmesiden.
Hvis du indhenter samtykke f.eks. ved et klik, swipe eller tryk, skal brugerne kunne tilbagekalde deres samtykke på en tilsvarende enkel måde. Har du f.eks. indhentet samtykke via en app, bør brugerne også kunne trække sit samtykke tilbage via lettilgængelige indstillinger i appen.
Cookiereglerne fastsætter ikke en specifik tidsgrænse for, hvor ofte et samtykke skal opdateres.
Når du vurderer hvor ofte du skal indhente et samtykke skal du lægge vægt på til hvilke formål behandlingen af oplysningerne sker, karakteren af behandlingen, herunder om den må anses for særligt indgribende for brugerne og brugerenes berettigede forventninger.
Det vil ofte være passende at opdatere samtykket en gang årligt. Ligeledes vil det også være mest passende, at genanmode en bruger, som har afslået at give samtykke, en gang årligt.
Hvis der sker en betydelig ændring af din tjenestes anvendelse af cookies og lignende teknologier, vil det samtykke, som brugerne har givet, ikke altid være tilstrækkeligt til at dække den nye behandling. I disse tilfælde, skal du altid indhente et nyt samtykke. Det kan f.eks. være tilfældet hvis du indsamler oplysninger gennem cookies og lignende teknologier til statistik, men du fremadrettet ønsker at indsamle oplysninger til markedsføring. Det oprindelige samtykke vil i denne situation ikke dække det nye behandlingsformål, og du skal derfor indhente et nyt samtykke, før du igangsætter denne behandling.
Når du anvender cookies og lignende teknologier skal du være opmærksom på din pligt til at oplyse om behandlingen af brugernes oplysninger.
I praksis kan indhentning af samtykke og opfyldelse af oplysningspligten ske i en integreret løsning. Du skal i den forbindelse sikre, at brugerne får de væsentligste informationer i samtykkeløsningen, samtidigt med at der f.eks. linkes eller på anden vis henvises til mere detaljerede informationer.
Der er hertil krav om, at du informerer brugeren om cookies og lignende teknologiers funktionsvarighed (udløbsdato). Det vil sige hvor længe teknologien indsamler oplysninger på brugerens terminaludstyr.
Ansvaret for at indhente samtykke, hvis du ønsker at bruge cookies og lignende teknologier påhviler dig. Det skyldes, at det er dig, der har ansvaret for, hvilket indhold der integreres på tjenesten og dermed også de cookies og lignende teknologier, som anvendes på tjenesten. Dette gælder også, selvom du vælger at lade en samarbejdspartner eller teknisk leverandør stå for brugen af cookies og lignende teknologier på tjenesten.
Hvis du bruger cookies mv. til at indsamle og behandle personoplysninger, er der yderligere krav, som du skal leve op til efter databeskyttelsesreglerne. Om det er dig eller dine eventuelle samarbejdspartnere, der har ansvaret for at overholde disse krav, afhænger af omstændighederne.
Udgangspunktet er, at du er ansvarlig for at overholde disse krav.
Her kan du se en oversigt over ofte anvendte sporingsteknologityper, hvad de gør, hvad du skal fortælle brugerne af din hjemmeside og hvornår du skal sikre dig brugerens samtykke inden sporingsteknologier anvendes.