Vi ville vite hvor mange ekte nettsteder som faktisk følger reglene de sier de følger. Så mellom april og juli 2026 kjørte vi den gratis GDPR-skanneren vår på 1 430 domener og logget hva som lastet før noen klikket på noe som helst.
Kort fortalt: de fleste sidene vi så på sporer besøkende, og en stor andel gjør det helt uten et samtykkesteg. Her er tallene, med forbeholdene, så du kan vurdere selv.
Hva målte vi egentlig?
Skanneren laster en side slik en førstegangsbesøkende ville gjort, uten klikk og uten samtykke gitt. Så registrerer den hvilke kjente trackere som fyrer, hvilke cookies som settes, hvor mange tredjepartsdomener som får en forespørsel, og om den klarer å oppdage en samtykkeløsning (CMP). En tracker regnes som aktiv når den sendte data eller satte en cookie ved lasting.
To ærlige forbehold. For det første er dette ikke et tilfeldig utvalg av nettet. Folk skanner en side fordi de mistenker et problem, så gruppen heller mot sider som har noe å finne. For det andre gjenkjenner skanneren CMP-er via kjente skript og standardsignalet __tcfapi. Et custom-kodet banner eller en obskur plugin som gjør ingen av delene, blir ikke oppdaget. Derfor er no-CMP-tallet et tak, ikke en eksakt telling.
Hvor mange sider hadde ingen synlig samtykkeløsning?
På 82% av de 1 430 sidene klarte vi ikke å oppdage noen samtykkeløsning. Bare 262 sider kjørte en CMP vi gjenkjente. Noen av resten bruker nesten sikkert et custom-kodet eller egen-hostet banner vi ikke ser, så tolk dette som en øvre grense. Likevel peker det mot mange sider uten et synlig samtykkelag.
En manglende CMP er bare et problem hvis siden faktisk sporer folk. Mange av sidene vi skannet var enkle presentasjonssider uten noe å gate. Derfor betyr det neste tallet mer.
Hvor mange sider fyrer trackere før du samtykker?
Dette er det harde funnet, og det avhenger ikke av CMP-gjenkjenning. På 693 av de 1 430 sidene (49%) fyrte en høyrisiko-tracker ved sidelasting, før noen interaksjon. På 502 sider (35%) skjedde det uten noe samtykkeverktøy vi kunne oppdage i det hele tatt. Når en tracker sender data ved lasting, er selve tidspunktet bruddet, banner eller ikke.
Dette stemmer med bredere forskning. En gjennomgang av samtykkestudier fant at selv blant sider som faktisk har en CMP, satte over halvparten trackere før brukeren sa ja. Et banner som laster etter trackeren er bare pynt.
GDPR-reglene for cookies er tydelige på rekkefølgen. Ikke-nødvendige trackere skal ikke kjøre før den besøkende har tatt et reelt valg. EDPBs veiledning fra 2023 utvidet dette til å dekke piksler og fingerprinting også, ikke bare cookies.
Hvilke trackere dukker oftest opp?
Google styrer showet. Google Analytics dukket opp på 36% av sidene, Google Tag Manager på 30%, og Google Ads på 29%. Nest vanligst var Meta Pixel på 8%. Ingen annen enkelt-tracker passerte 4%.
De vanligste trackerne vi fant, etter andel av sider:
- Google Analytics: 36% (høy risiko)
- Google Tag Manager: 30% (middels risiko)
- Google Ads: 29% (høy risiko)
- Meta Pixel: 8% (høy risiko)
- Amazon Publisher Services og Matomo: 4% hver
- Comscore, LinkedIn Insight, Microsoft Clarity, Microsoft Ads: rundt 3% hver
Google alene forklarer mesteparten av risikoen
Når vi ser på trackere som fyrer aktivt før samtykke, er de tre øverste alle Google eller Meta. Google Analytics fyrte tidlig på 498 sider. Google Ads gjorde det på 395. Meta Pixel på 96. Dette er taggene de fleste glemmer å gate, delvis fordi de limes inn under oppsett og aldri røres igjen.
Bruker du Google-tagger, er ikke løsningen bare et banner. Du trenger også Google Consent Mode v2 koblet til banneret, så samtykkestatusen faktisk når Google. En CMP uten Consent Mode lekker fortsatt signaler til Google på EU-trafikk.
Hva slags trackere er dette?
Analyse og annonsering dominerer. Analyse-trackere dukket opp på 702 sider og annonse-trackere på 491. Markedsføringsverktøy og sosiale widgets lå langt bak på 59 og 57 sider. Så den typiske risikoen er ikke et eksotisk skript. Det er de samme analyse- og annonsetaggene nesten alle installerer.
Det er på et vis gode nyheter. Håndterer du Google Analytics, Google Ads og Meta Pixel riktig, har du dekket det aller meste av risikoen vi så i dataene.
Hvor mange trackere laster gjennomsnittssiden?
Gjennomsnittssiden i skanningen vår lastet 1,6 trackere, og medianen var 1. Det høres lavt ut helt til du husker at 599 sider lastet null. Blant sidene som sporer i det hele tatt, stiger tallet raskt, og den tyngste siden vi skannet kjørte 16 separate trackere på én enkelt side.
Fordelingen av antall trackere på tvers av alle 1 430 sidene:
- 0 trackere: 599 sider
- 1 til 2 trackere: 496 sider
- 3 til 5 trackere: 255 sider
- 6 til 10 trackere: 71 sider
- 11 eller flere: 9 sider
Hvilke samtykkeløsninger bruker de kompatible sidene?
Blant de 262 sidene der vi faktisk oppdaget en CMP, ledet to navn med god margin: OneTrust på 107 sider og Cookiebot på 64. Sourcepoint, CookieYes og TrustArc fulgte på rundt 15 hver. Så de betalte enterprise-verktøyene eier det synlige samtykkemarkedet, selv om et lite, godt konfigurert banner gjør akkurat samme jobb.
Det gapet er hele grunnen til at vi bygde Consentify. Vurderer du alternativer, bryter vår sammenligning med Cookiebot ned hvor et lettere verktøy passer bedre, særlig for mindre sider som ikke trenger enterprise-priser.
Hva betyr dette for nettstedet ditt?
Mønsteret på tvers av 1 430 sider er konsistent. De fleste sider sporer besøkende, trackerne er nesten alltid Google eller Meta, og de fyrer svært ofte før noe samtykke. Banneret, der det finnes, laster ofte for sent til å bety noe.
Du kan ikke fikse det du ikke ser, så start med å skanne din egen side. Det tar under ett minutt og viser nøyaktig hvilke trackere som fyrer før samtykke, som er tallet som faktisk får sider i trøbbel.
Vil du se hvor siden din havner? Kjør en gratis GDPR-skanning, og fiks det med Consentify: ett domene gratis, ingen vannmerke, ingen tidsbegrensning.