Data

(Melkein) kaikki mitä olet halunnut tietää evästehallinnasta

Hion

Mistä on evästehallinta tehty? Miksi kävijöitä kiusataan evästebannereilla, ja ennen kaikkea - miksi evästeiden maailma on niin sekava?

Miten evästehallinta sai alkunsa?

Kun evästeitä käytetään sivustolla, verkkopalvelun tarjoaja tallentaa käyttäjän selaimeen tiedonmurusen. Tämä tiedonmurunen voi viattomimmillaan olla esimerkiksi valinta siitä, haluaako kävijä käyttää vaaleaa vai tummaa käyttöliittymää, jotta palvelu muistaa valinnan seuraavalla visiitillä.

Evästeiden taustalta löytyy hyvä ajatus. Kun kävijä vierailee verkkosivustolla, evästeiden avulla saadaan pidettyä kävijän aiemmat kirjautumiset ja ostoskorin toiminnot tallessa. Tällöin käyttäjän kokemus on mutkattomampi ja vaivattomampi, kun hän seuraavan kerran palaa takaisin palvelun pariin.

Evästeet itsessään eivät ole paha tai ikävä asia, vaan se, miten niitä hyödynnetään ja mihin kaikkialle evästeitä käyttävät tägit lähettävät keräämäänsä tietoa.

Sitten isommat toimijat alkoivat hyödyntää evästeitä eri sivustojen väliseen seurantaan yksilötasolla. EU vastasi tähän sähköistä viestintää ja tietosuojaa koskevalla -lainsäädännöllä (ePrivacy Directive ja GDPR), jossa yksilöiden henkilötietoja pyrittiin suojelemaan rajoittamalla tätä toimintaa.

Ongelmana eivät olekaan olleet edellämainitut palvelukokemusta parantavat evästeet. Haasteena on ollut se, että evästeet voi valjastaa lähettämään tietoa toiselle sivustolle, esim. analytiikka- tai mainosalustalle, jolloin tietoa siirtyy palveluiden välillä.

Tästä syystä syntyi EU-tasoinen päätös siitä, että jos käyttäjän laitteeseen tallennetaan tietoa, pitää pyytää käyttäjältä suostumus sen tallentamiseen. Jos käyttäjä ei anna suostumusta, silloin tiedonmurusen tallentaminen ei ole mahdollista.

Poikkeuksena tähän suostumusvaatimukseen ovat evästeet, jotka ovat välttämättömiä sivuston toiminnan tai viestin välittämisen tekniseksi toteuttamiseksi. Muihin tarkoituksiin käytettyjen evästeiden osalta (kuten analytiikka ja markkinointi) syntyi tarve evästeiden ja evästelupien hallinnoimiselle. Alla tässä kirjoituksessa on kerrottu tarkemmin ensimmäisen ja kolmannen osapuolen evästeistä.

Jos haluat kertausta mistä digipalveluiden tietosuoja koostuu, lue Applex Asianajotoimiston blogista mainio kooste aiheesta

Laissa ei ole kuitenkaan selkeää linjausta siitä, miten evästeitä voi tarkalleen käyttää. Tämä on johtanut siihen, että jokainen sivustojen toteuttaja tekee omat tulkintansa laista – ja käytännöt ovat erittäin kirjavia.

Ovatko suojaustoimenpiteet lopulta kuitenkaan auttaneet henkilötietojen suojaamisessa ja parantaneet käyttäjien kokemusta?

Lainsäädäntö toi mukanaan evästebannerit, joiden kautta käyttäjä voi vaikuttaa evästeiden tallennukseen.

Harva käyttäjä rakastaa evästebannereita. Evästeiden kysymiset usein rasittavat kävijän selauskokemusta. Bannerit saattavat herättää myös kysymysmerkkejä useassa tavan tallaajassa, ja monelle evästeet saatika niiden käyttötarkoitus eivät välttämättä sano juuri mitään.

Jotta verkkopalvelua voi kehittää, tulee sen toiminnasta saada tietoa – ja ilman evästeitä, tämän toteuttaminen on haastavaa.

Evästeiden superlyhyt oppimäärä

Mitä ovat ensimmäisen osapuolen evästeet?

Ensimmäisen osapuolen evästeet on asetettu verkkosivun toimesta, jolla käyttäjä sillä hetkellä vierailee. Niitä käytetään yleensä parantamaan käyttäjän vuorovaikutusta verkkosivujen kanssa. Ne auttavat ylläpitämään istuntoja sekä muistamaan kirjautumistiedot, mieltymykset ja ostoskorin tuotteet. Ne mahdollistavat sisällön ja mainonnan räätälöimisen selaushistorian ja mielenkiinnon kohteiden mukaan sekä keräävät analytiikkaa verkkosivun kehittämiseksi. Jotkut ensimmäisen osapuolen evästeet tarjoavat välttämättömiä toimintoja verkkosivuilla.

Mitä ovat kolmannen osapuolen evästeet?

Kolmannen osapuolen evästeet ovat muiden kuin verkkosivuston luomia, jolla käyttäjä vierailee. Kolmannen osapuolen evästeet pääsevät käsiksi kävijöidesi selaimiin ulkoisten palveluiden kautta, joita on upotettu sivustoosi. Tällaisia voivat olla esimerkiksi:

  • Upotettu YouTube-video
  • Sosiaalisen median widgetti
  • Mainoswidget mainosverkostosta

Kolmannen osapuolen evästeitä käytetään sivustojen väliseen seurantaan, mainosten uudelleenkohdistamiseen sekä kohdennettujen mainosten näyttämiseen käyttäjille mainosalustojen tai sosiaalisen median kautta. Nämä evästeet mahdollistavat tuotemerkeille ja myyjille kerätä merkittävän määrän henkilökohtaisia tietoja käyttäjästä, mahdollistaen yksityiskohtaisten käyttäjäprofiilien luomisen. Niitä voidaan käyttää myös haitallisiin tarkoituksiin, kuten käyttäjien seuraamiseen heidän henkilötietojensa varastamiseksi tai haittaohjelmien toimittamiseen.

Toisaalta, kolmannen osapuolen evästeet antavat verkkosivustojen tarjota tiettyjä toimintoja, kuten reaaliaikaisia chat-palveluita. Kolmannen osapuolen evästeiden puuttuminen ei kuitenkaan tyypillisesti vaikuta verkkosivuston ydinominaisuuksiin.

Evästehallinnan villi länsi tulossa tiensä päähän?

Evästebannereita löytyy edelleen hyvin laidasta laitaan. Osassa jaotellaan evästeet eri evästekategorioihin niiden käyttötarkoituksen mukaan (mainonta, analytiikka, personointi, turvallisuus jne.) tai evästeitä tallentavien toimijoiden mukaan (näitä voi olla listauksissa useita kymmeniä).

Mediatalojen sivustojen bannereissa on tullut tutuksi “oikeutettu etu”-tyylinen lähestymistapa ja megalomaaninen listaus eri yhtiöitä. Mitä ihmettä tämä sitten tarkoittaa?

Mainosrahoitteisilla toimijoilla on sivustoillaan paljon mainospaikkoja, widgettejä ja seurantaa, joita varten käyttäjien toimintaa halutaan seurata evästeiden avulla. Näissä tapauksissa mediatalot ovat listanneet kaikki toimijat, joita on usein paljon. Suurella osalla organisaatioista ei näin suurta evästetoimintaa ole.

Jos kyseessä on kunnan tai keskivertoyrityksen verkkopalvelu tai verkkokauppa, käytössä on usein joku analytiikkatyökalu, muutama mainosalusta ja kenties chat-toiminnallisuus. Haastavimpia näistä evästeistä ovat mainosalustojen käyttämät evästeet (Meta, LinkedIn, Google Ads), sillä niidenkin osalta pitäisi saada kuvattua käyttäjälle mitä tietoa ne saavat tallentaa.

Evästeiden käyttöä halutaan kuitenkin rajoittaa myös isojen toimijoiden osalta. Tämä johtaa siihen, että kolmansien osapuolten evästeet ovat kuolemassa sukupuuttoon. Esimerkiksi Chrome alkaa rajoittamaan 3-osapuolien evästeitä todennäköisesti ensi vuoden lopulla. Kysymys onkin, ratkaiseeko tämä ongelman.

Sellaisia pieniä toimijoita tämä tulee haittaamaan, jotka eivät ole saaneet 1. osapuolen evästeitä kuntoon. Isoilla toimijoilla on sen sijaan ollut resursseja rakentaa sivustonsa evästeet siten, että muutoksen tekeminen ei ole ollut kivuliasta.

Millainen sitten on hyvä ja lain mukainen evästebanneri?

1. Selkeä ja kattava

Hyvä ja lainmukainen evästebanneri on sellainen, josta on helppo nähdä eri evästekategoriat (pakolliset, analytiikka, mieltymykset, markkinointi jne.), evästeiden määrä, sekä listaus evästeistä. Esimerkiksi Cookiebot, Cookie Information sekä OneTrust listaavat nämä automaattisesti. Kun bannerista klikkaa yksityiskohtia, pääsee näkemään kaikki evästeet.

Kaikille evästeille pitää tarjota käyttötarkoitus, kuinka pitkään eväste on voimassa, ja evästeen tarjoaja/datan käsittelijä.

Jokaisella toimijalla on vastuu evästeiden listaamisesta ja nimeämisestä. Jos evästettä ei tunnisteta, on kovin vaikeaa kertoa mitä sillä tehdään. Tästä esimerkkinä luokittelemattomat-ryhmä, joka on usein sekalainen sakki erilaisia evästeitä. Kerro selkeästi ja läpinäkyvästi minkä takia näitä ominaisuuksia on sivustolla.

2. Helppokäyttöinen

Hyväksyntäbannerin painikkeiden yhdenvertaisuus on olennaista. Evästeistä kieltäytymisen tulee olla yhtä helppoa kuin niiden hyväksymisen, eli jos evästeet voi hyväksyä yhdellä napinpainalluksella, tulisi kieltäytymisen tapahtua myös vain yhdellä painalluksella.

Kieltäytymis- ja hyväksyntänappien suunnittelussa on hyvä välttää käyttäjän johdattelua ja noudattaa visuaalisesti eettistä ja yhdenmukaista linjaa. Eli esimerkiksi hyväksyntänappi ei saisi olla vihreä eikä kieltäytymisnappi punainen. Tämä ei kuitenkaan vielä ole vaatimus. Kieltäytymisvaihtoehtoa ei saa myöskään piilottaa.

Evästebannerissa ei saa olla valmiiksi raksittuja ruutuja tai “päällä” asennossa olevia liukukytkimiä ei-välttämättömien evästeiden osalta. Muut kuin välttämättömät evästeet eivät siis saa olla palvelussa tai sivustolla oletusarvoisesti päällä, vaan käyttäjän tulee ne erikseen hyväksyä eli klikata päälle (ns. opt-in).

Traficomin mukaan myös hyväksynnän muuttamisen tulisi olla yhtä helppoa kuin alkuperäisen luvan antamisen. Käytännössä tätä on kuitenkin vaikea toteuttaa pilkulleen, mutta tämä on yksi syy sille, miksi evästeikoneja näkee usein kellumassa sivujen reunoilla.

3. Kunnioita käyttäjän antamaa evästehyväksynnän tasoa

Käyttäjän evästehyväksynnän tasoa tulee kunnioittaa. Jos käyttäjä ei ole hyväksynyt esim. markkinointiin liittyviä evästeitä, hänen selaimeensa ei tällöin saa asettaa esim. Facebookin tai LinkedIn:in skriptien asettamia evästeitä.

Jos käytössäsi on valmis evästebanneri toimittajalta kuten OneTrust, Cookiebot tai Cookie Information, niin evästeiden blokkaus voidaan tehdä näillä automaattisesti tai luokittelemalla sivuston koodiin asetettavat skriptit itse. Skriptien ajamista voidaan hallinnoida myös Google Tag Managerin kautta.

Mitkä asiat evästeiden osalta tulee hoitaa kuntoon?

Ota käyttöön valmis evästebanneriratkaisu 

Jos et jo ole, ota viimeistään nyt käyttöön jokin yleisistä evästebanneriratkaisuista. Näin helpotat evästelupien kirjaamista ja pystyt tarvittaessa osoittamaan Traficomin vaatimusten mukaisesti milloin kukin lupa on annettu. Eli jos käyttäjä tai muu taho pyytää selvitystä luvista, käyttäjä näkee oman hyväksyntätunnuksensa, ja voi lähettää sen sivuston omistajalle, joka puolestaan pystyy poimimaan tietokannastaan käyttäjän hyväksynnän tiedot kyseisellä tunnuksella.

Tarkista, että bannerisi tukee Consent Mode V2:sta

Google Cookie Consent Mode V2 tuli voimaan maaliskuussa, joten jos haluat tehdä Google-mainontaa, uuden consent moden tulee olla käytössä. Jos sinulla on käytössä joku isosta kolmesta toimijasta, bannerisi tukee uutta consent modea. Muussa tapauksessa kannattaa selvittää Googlen listauksesta onko bannerisi uuden consent moden mukainen. 

Seuraa bannerin hyväksyntäprosenttia

Evästebannerin hyväksyntäprosenttia kannattaa seurata. Se vaihtelee yleisesti 50-80% välillä riippuen toimialasta. Jos hyväksyntäprosentti on tätä parempi, evästebanneri ei todennäköisesti vastaa Traficomin ohjeistusta, jolloin on tehtävä tarvittavat muutokset ja valmistauduttava lukujen putoamiseen. Sivuston kävijät ovat nykyään myös valveutuneempia, eivätkä enää anna samalla tavalla lupia kuin muutama vuosi sitten. Mitä läpinäkyvämmin ja maltillisemmin asioita tekee, ja selkeämmin kirjaa mihin evästeitä käyttää, sitä todennäköisimmin käyttäjät myös antavat luvan evästeille.

Harkitse evästeetöntä analytiikkaratkaisua oheen

Evästeiden hyväksyntäprosentin alhaisuuden vuoksi kannattaa myös miettiä evästeettömiä analytiikkaratkaisuja täydentäväksi vaihtoehdoksi, kuten esim. Plausible tai Matomo. Monella sivustolla halutaan tietää kävijöiden määrä, johon evästeetön analytiikka tarjoaa vastauksen.

Evästeettömät analytiikkaratkaisut eivät sellaisenaan välttämättä riitä ainoana, koska usein halutaan tarkempaa dataa. Kun tehdään mainontaa ja seurataan konversioita, vaaditaan evästeitä seurannan ja raportoinnin mahdollistamiseksi.

Työkalut eivät analytiikkapuolella lopu kesken. On kuitenkin hyvä muistaa, että myös palvelinpuolen analytiikkaratkaisut tarjoavat evästeetöntä dataa. Palvelinpuolen analytiikasta pystytään poimimaan liikennemäärät tarkasti ja luotettavasti.

Esimerkiksi Google Cloudissa on hyvät lokityökalut, joista voidaan luoda metriikoita pilvialustan työkaluilla. Pilvipalveluympäristön lokien ja metriikoiden seuraamisella voidaan saada perustason tietoa ilman ulkoista tai evästeistä riippuvaa seurantaa. 

Jos haluat kuulla lisää, ole meihin yhteydessä!

 

Artikkelin asiantuntijat:

Panu Ervamaa, CTO, Hion
Niko Karppinen, Web Analytics Lead, Hion
Ville Vainio, osakas ja asianajaja, Applex: Applexin Teknologia & Tietosuoja -praktiikan vetäjänä Ville avustaa kotimaisia ja kansainvälisiä asiakkaita pk-yrityksistä pörssifirmoihin erityisesti tietosuoja- ja teknologiajuridiikan parissa. Ville on sertifioitu tietosuoja-asiantuntija (CIPP/E)

Evästehallinta kuntoon yhdessä?

Laita meille viestiä, me autamme mielellämme!

"*" indicates required fields

Tietosuojaseloste*