Cookiepopups er i dag en uundgåelig del af oplevelsen på internettet. Næsten hver eneste hjemmeside man besøger, møder man med det samme en boks der spørger om accept af cookies. For mange brugere er disse popups blevet en kilde til irritation. De blokerer indhold man egentlig kom for at læse, de skal klikkes væk på hver eneste website man besøger, og valget føles ofte kunstigt: Enten accepterer man alt, eller man skal gennem en proces med at fravælge. Men cookiepopups er ikke bare irriterende for brugerne – de er også en udfordring for websiteejere. De kan kræve juridisk rådgivning for at sikre compliance og teknisk implementation der skal vedligeholdes.
En del tror at det blot handler om at afvikle en popup på websitet og så er den ged barbaret. Det er ikke tilfældet. Jeg oplever efterhånden flere cookiepopup opsætninger der ikke virker efter hensigten end opsætninger der rent faktisk gør. Man må eksempelvis ikke afvikle Youtube videoer uden cookieaccept. Hvor mange gange oplever man websites der korrekt håndterer det. Således bør det se ud har man Youtube videoer på websitet.
Min egen holdning er at den store fokus på cookies er omsonst. Alle burde kunne sætte gængse cookies til tracking med mindre der er tale om personhenførbare oplysninger. Måske skulle man også kunne fravælge cookies til remarketing. Det kunne give mening.
Cookies har i den grad et imageproblem. Meget af det skyldes den retorik man møder på nettet omkring cookies; “Facebook sælger data om dig hentet hos dine venner“. Det er ganske enkelt ikke sandt. Meta, Google og andre annonceplatforme benytter data man selv forærer de platforme ved at benytte dem, interagerer med deres indhold og i mange tilfælde selv forærer dem. Den viden bruges til at målrette annoncering. Jeg tror faktisk de fleste vil foretrække målrettet annoncering. Alternativet er annoncering som slet ikke er relevant for den enkelte. Nej tak til cookies betyder jo ikke at man udsættes for mindre annoncering. Brugen af ord som “overvågning” og “sladrehanke” om cookies antyder også at man direkte spioneres skulle man gå hen og acceptere cookies.
Det besværlige ved cookie popups rejser et naturligt spørgsmål for alle der har et website: Er det overhovedet nødvendigt at have en cookiepopup? Kan man drive et moderne, funktionelt website uden at bombardere sine besøgende med samtykkebokse? Svaret er faktisk ja – men det kræver at man forstår lovgivningen og træffer nogle bevidste valg om, hvordan man bygger og driver sit website.
Hvad siger lovgivningen om cookies?
For at forstå hvornår man kan undgå en cookiepopup, er det nødvendigt at kende til den lovgivning der regulerer cookies i EU og Danmark. Der er primært to regelsæt der spiller ind: GDPR (Databeskyttelsesforordningen) og ePrivacy-direktivet.
GDPR og ePrivacy-direktivet
GDPR, som trådte i kraft i 2018, regulerer behandling af personoplysninger generelt. Men når det specifikt handler om cookies, er det ePrivacy-direktivet (også kaldet “Cookie-loven”) der er den afgørende lovgivning. Dette direktiv kræver, at websiteejere indhenter brugerens samtykke før de gemmer eller læser information på brugerens enhed – medmindre det er strengt nødvendigt for at levere en service som brugeren eksplicit har anmodet om.
I Danmark er ePrivacy-direktivet implementeret gennem § 130 i Lov om elektroniske kommunikationsnet og -tjenester. Datatilsynet fører tilsyn med overholdelsen af disse regler.
Hvornår kræves samtykke til cookies?
Den afgørende forskel ligger i, hvad cookies bruges til. Ikke alle cookies kræver samtykke:
Cookies der IKKE kræver samtykke (strengt nødvendige):
- Session-cookies der holder brugeren logget ind
- Cookies til indkøbskurve i webshops
- Cookies til load balancing og sikkerhed
- Cookies der husker brugerens sprogvalg eller tilgængelighedsindstillinger
- Cookies til at forhindre svindel
Cookies der KRÆVER samtykke:
- Marketing og tracking cookies (Google Analytics, Facebook Pixel, etc.)
- Personaliserings-cookies til annoncer
- Cookies fra tredjeparter der bruges til profilering
- Social media plugins der tracker brugeren
- A/B testing cookies (med mindre de er absolut nødvendige for sidens funktion)
Det centrale princip er, at hvis cookien primært gavner websiteejeren (fx gennem marketing-indsigt eller annonceomsætning) snarere end at være nødvendig for den service brugeren har bedt om, så kræver den samtykke. Hvad der imidlertid også fremgår af cookiebekendtgørelse (§ 3) er at også har en oplysningspligt. Det er formuleret som
“klar og fyldestgørende information om formålet med lagring af eller adgang til oplysninger i brugerens terminaludstyr”
Det betyder at selvom man ikke behøver hente samtykke og have en cookiepopup fordi man udelukkende benytter nødvendige cookies så skal man orientere om brugen af cookies.
Fordele ved et website uden cookie popup
At vælge en cookiefri eller cookiepopup-fri tilgang til sit website kommer med en række konkrete fordele, der både gavner brugerne og websiteejeren selv.
Bedre brugeroplevelse
Den mest åbenlyse fordel er en markant forbedret brugeroplevelse. Besøgende kan gå direkte til det indhold de søger uden at skulle forholde sig til samtykkebokse, læse lange cookie-erklæringer eller navigere gennem komplekse indstillingsmenuer. Dette skaber en mere friktionsfri oplevelse der minder om internettets tidlige dage, hvor man simpelthen kunne browse uden konstant at blive afbrudt. For mobile brugere, hvor skærmpladsen i forvejen er begrænset, er værdien af at undgå popups endnu mere udtalt.
Hurtigere indlæsningstid og bedre performance
Cookiepopups og de tilhørende consent management platforms (CMP’er) kræver ofte betydelige mængder JavaScript for at fungere. Ved at fjerne disse scripts kan man reducere sidens totale vægt med 50-200 KB eller mere, hvilket resulterer i hurtigere indlæsningstider. Desuden slipper man for de tredjeparters tracking-scripts (Google Analytics, Facebook Pixel, hotjar, etc.) der ellers ville blive indlæst efter samtykke. Alt dette bidrager til bedre Core Web Vitals scores, hvilket også kan forbedre sidens placering i søgeresultater, da Google prioriterer hurtige websites.
Færre juridiske bekymringer
At undgå tracking-cookies eliminerer en lang række juridiske kompleksiteter. Man skal ikke bekymre sig om at holde sig ajour med skiftende fortolkninger af GDPR, implementere cookie-consent på korrekt vis, eller risikere bøder for manglende compliance. Der er ingen risiko for at ens cookiepopup ikke lever op til Datatilsynets krav om fri og informeret samtykke. Man slipper også for at skulle opdatere og vedligeholde en cookie-politik med lister over hundredvis af tredjepartsleverandører.
Besparelser
En cookiepopup koster lidt om året men er næppe en store udgift der tynger. Skal der dermed konsulenter på for at vedligeholde opsætningen og håndtere nye cookies kan det blive en udgift.
Ulemper ved et website uden cookie popup
Selvom et cookiefrit website har mange fordele, kommer det også med reelle begrænsninger der kan påvirke hvordan man driver sin online tilstedeværelse. Det er vigtigt at forstå disse trade-offs før man træffer beslutningen om at droppe cookies.
Begrænsede marketingmuligheder
Den mest betydelige ulempe for mange virksomheder er tab af avancerede marketingfunktioner. Uden tracking-cookies kan man ikke bruge remarketing eller retargeting-kampagner, hvor man viser annoncer til folk der tidligere har besøgt ens website. Man mister også muligheden for at bygge lookalike audiences på platforme som Facebook og Google Ads, hvor man finder nye kunder der ligner ens eksisterende besøgende. Conversion tracking bliver ligeledes vanskeligere – man kan ikke på samme måde følge en brugers rejse fra annonceclick til køb eller kontaktformular. For e-commerce sites og virksomheder der er stærkt afhængige af digital annoncering, kan dette være en dealbreaker.
Markant færre data til analyse og optimering
Uden cookies mister man dybdegående indsigt i brugeradfærd. Man kan ikke tracke individuelle brugere gennem flere sessioner, se hvilke sider de besøger i hvilken rækkefølge, eller forstå hvordan de navigerer gennem ens site over tid. A/B testing bliver mere besværligt, da man ikke kan sikre at samme bruger konsekvent ser samme version. Heatmaps og session recordings fra værktøjer som Hotjar eller Microsoft Clarity er ikke mulige uden samtykke. Man mister også muligheden for at segmentere sin audience baseret på adfærd – eksempelvis at se hvordan nye vs. tilbagevendende besøgende opfører sig forskelligt, eller hvilke traffic-kilder der konverterer bedst over flere besøg.
Kan ikke bruge populære tredjepartsværktøjer
Mange af de mest udbredte digitale værktøjer fungerer ikke uden tracking-cookies. Google Analytics (standard version), Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel og lignende platforme kræver alle cookies for at fungere efter hensigten. Det samme gælder mange CRM-integrationer, chatbots med avanceret funktionalitet, og personaliserings-engines. Selvom der findes privacy-venlige alternativer til nogle af disse værktøjer, betyder det ofte at man skal lære nye systemer og måske acceptere mindre funktionalitet. For teams der er vant til at arbejde i Google Analytics eller Facebook Business Manager, kan omstillingen være betydelig.
Undrer den manglende tilstedeværelse af en cookiepopup?
Man kan forestille sig at manglen på en cookiepopup vil mistænkeliggøre websitet. Måske tænker noget nogen at websitet alligevel sætter cookies.
Hvad med cookiepopups og server side tracking?
Hvorfor har jeg ikke selv en cookiepopup?
Flere forhold har gjort at jeg har fravalgt at have en cookiepopup.
1. Jeg har aldrig brugt midler til at annoncere for mig selv på betalte kanaler. Så cookies fra eksempelvis Meta- eller Google Ads annoncering har jeg simpelthen ikke haft behov for. Jeg bruger udelukkende organisk trafik til at tiltrække besøgende og der er jeg faktisk godt tjent med Google Search Console og desuden har jeg eksterne værktøj som kan overvåge mit domænes organiske synlighed.
2. Jeg blev fanget af eksperimentere med at optimere websitehastighed. Den gamification der ligger i Google Pagespeed gav mig lyst til at se hvor god en performance der kunne hentes i WordPress/DIVI. Er man på jagt efter websiteperformance er det der nærliggende at kigge på tredjepartsscripts som Google Tag Manager, Google Analytics og den slags. Scripts til cookiepopuppen selv kan også trække resurser. Det vil meget ofte give et løft at få det fjernet.
3. På et tidspunkt i 2022 og 2023 blev diskuteret om Google Analytics i det hele taget var lovlig i lyset af GDPR. Datatilsynet endte med at vende tommelfingeren opad men det var en lang og usikker tid. At fravælge en cookiepopup og Google Analytics på mit eget website var en fin måde at forberede sig til et Internet uden Google Analytics.
