Evästeiden hallinta muuttui radikaalisti 13.9.2021. Liikenne- ja viestintävirasto Traficom julkaisi uudet linjaukset, jotka tarkoittavat täyskäännöstä aiempaan ohjeistukseen. Tämä vaikuttaa kaikkiin verkkosivustoihin. Siksi myös sinun täytyy todennäköisesti täytyy tehdä jotain. Liiketoimintapäättäjien tulee varautua siihen, että mitattavuus heikkenee, eikä markkinoinnissa data liiku enää entiseen tapaan.

Sisällysluettelo

  1. Miten verkkosivujen evästeiden hallinta on nyt muuttunut?
  2. Miten muutos evästeiden hallinnassa ja suostumuksen kysymisessä tulee näkymään käytännössä?
    1. Kävijän suostumus pitää pyytää uudella tavalla
    2. Luottamus vahvistaa brändiä eikä tekemättä jättäminen ei ole yrityksellesi vaihtoehto
    3. Markkinointiosastolla on syytä varautua heikompaan mitattavuuteen
  3. Älä unohda kehittää jo olemassa olevaa
  4. Miten laitat suostumusten hallinnan kuntoon ja verkkosivustosi evästeet kuriin?
  5. Kiinnitä näihin asioihin huomiota suostumusten hallinan ratkaisussasi 
  6. Mihin suuntaan evästeiden kanssa ollaan menossa?
  7. Mistä saat apua eväste-asian laittamiseksi kuntoon?

Hyvä tietosuoja on tärkeä osa digitaalista arkeamme ja yritysten brändiä. Suomessa Liikenne- ja viestintävirasto Traficomin tehtävänä on valvoa sähköisen viestinnän luottamuksellisuutta. Osana tehtäväänsä virasto ohjeistaa ja linjaa evästeiden ja muiden käyttäjän laitteelle tallentuvien tietojen sekä niitä koskevien käyttäjän suostumusten hallinnan parhaita käytäntöjä. Traficom julkaisi vastikään 13.9.2021 uudet linjaukset, jotka poikkeavat merkittävästi aiemmasta ohjeistuksesta ja siten vaikuttavat kaikkien verkkosivustoja ylläpitävien toimintaan. Siksi myös sinun täytyy todennäköisesti täytyy tehdä jotain.

Miten verkkosivujen evästeiden hallinta on nyt muuttunut?

Aiemman Traficomin linjauksen mukaan evästesuostumusten hallintaan on käyttäjän näkökulmasta riittänyt se, että hän pystyy itse hallinnoimaan ja kieltämään evästeiden asettamisen selaimensa asetuksista.

Nyt uuden linjauksen myötä vastuu evästeiden ja suostumusten hallinnasta on siirtynyt selkeästi käyttäjältä sivuston ylläpitäjälle. Muutos on merkittävä. Taustalla on Tietosuojavaltuutetun toimiston ja Traficomin näkemysten eroavaisuus ja viimeisenä niittinä korkeimman hallinto-oikeuden päätös huhtikuussa 2021.

Traficom on samalla julkaissut uuden ohjeistuksen Evästeohjeistus palveluntarjoajille, joka on ladattavissa viraston sivuilla. Oppaassa selkeästi kumotaan (s. 9, alin kappale) aiempi linjaus seuraavasti:

“Selainten asetuksia taas ei voida katsoa riittäväksi suostumuksen osoitukseksi, koska käyttäjä ei välttämättä ole määrittänyt tai ole voinut määrittää asetuksia mieltymyksiään vastaaviksi. Selainasetuksia ei myöskään voida pitää tarpeeksi yksilöivänä ja aktiivisena tahdonilmaisuna, kun kyse on eri evästeiden hyväksymisestä, joiden avulla voidaan kerätä tietoa useisiin käyttötarkoituksiin.”

Viraston kiitettävän selkeästi laatimassa 15 sivuisessa ohjeistuksessa on asiaa ja sen taustoja valotettu yksityiskohtaisesti, mutta käytännön ja tämän kirjoituksen tarkoituksen kannalta oleelliset uudet asiat on linjattu kappaleessa “4. Suostumus”:

Siinä todetaan mm. seuraavaa:

  • Suostumuksen on oltava aktiivinen tahdonilmaisu, joten suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.
  • Evästebannerissa ei saa olla valmiiksi raksittuja ruutuja tai ”päällä” asennossa olevia liukukytkimiä ei-välttämättömien evästeiden osalta.
  • Suostumuksen antaminen ei saa olla helpompaa kuin suostumuksen rajaaminen tai evästeiden kieltäminen.
  • Kun suostumus hankitaan sähköisesti vain yhdellä hiiren klikkauksella, näytön pyyhkäisyllä tai näppäimistön painalluksella, käyttäjien on voitava kieltäytyä suostumuksesta ja peruuttaa suostumus yhtä helposti.
  • Suostumuksen peruuttamisen tai jo annettujen asetusten muuttamisen tulee onnistua käyttäjän kannalta mahdollisimman yksinkertaisella tavalla.
  • Palveluntarjoajan tulee kyetä jälkikäteen osoittamaan saamansa suostumus evästeiden ja muiden näihin rinnastettavien tietojen tallentamiselle ja käytölle.

Miten muutos evästeiden hallinnassa ja suostumuksen kysymisessä tulee näkymään käytännössä?

Aiemman linjauksen mukaisesti melko yleinen tapa evästeiden käyttämisestä ilmoittamiseen verkkosivustolla on ollut banneri, jossa tavalla tai toisella on todettu että “jatkamalla sivuston käyttöä hyväksyt evästeiden käytön”. Aktiivista suostumusta, kieltämistä tai rajaamista esimerkiksi vain välttämättömien evästeiden käyttämiseen ei ole tarjottu. Myöskään suostumuksen muuttamiseen jälkikäteen tai sen päivittämiseen ei ole tarjottu mahdollisuuksia, koska sitä ei ole aiemman linjauksen mukaan katsottu tarpeelliseksi.

Kävijän suostumus pitää pyytää uudella tavalla

Sivustolla kävijän tulee antaa suostumuksensa nyt erikseen ja eksplisiittisesti eikä ennakkovalintoja käyttäjän puolesta saa tehdä. Sivuston vierailijalle muutos konkretisoituu ja näkyy usein seuraavalla tavalla – ennen ja jälkeen uuden ohjeistuksen:

esimerkki – ennen

esimerkki – jälkeen

Tämän lisäksi evästeiden hallinta pitää toimia siten, että mitään evästeitä ei asenneta ellei suostumusta ole sen asettamiseen ole saatu. Vain välttämättömät evästeet saa asentaa automaattisesti.

Luottamus vahvistaa brändiä eikä tekemättä jättäminen ole yrityksellesi vaihtoehto

Yrityksellesi tämä voi tarkoittaa muutoksia sivuston rakenteeseen ja toimintaan suostumusten oikein käsittelemiseksi. Muutoksia ei tarvita, mikäli sivustollasi noudatetaan jo entuudestaan uuden linjauksen mukaista ohjeistusta ja evästeiden hallinta on siten kunnossa. Hyvän tietosuojan konkretisointi tälläkin tavoin rakentaa luottamusta ja vahvistaa siten brändiä. 

Riskienhallinnan näkökulmasta GDPR-mukaisuudessa epäonnistuminen ei ole mikään leikin asia seuraamusmaksuineen. Suomessa on toistaiseksi jaettu maltillisesti sakkoja tähän liittyen verrattuna Euroopan muihin maihin – esimerkiksi Espanjassa on jo jaettu 285 sakkoa kun Suomessa on jaettu 8 kpl tätä kirjoittaessa. Voi olla, että myös Suomessa kynnys sakkojen myöntämiseen madaltuu, ja jos asiat eivät ole oikealla tolalla, niin niiden määrä myös kasvaa.

Markkinointiosastolla on syytä varautua heikompaan mitattavuuteen

Markkinoinnin ja analytiikan näkökulmasta uudet käytännöt tekevät mittaamisesta vaikeampaa eikä vanhaan ole paluuta. Analytiikka perustuu pitkälti evästeiden käyttöön, joilla sivuston kävijät yksilöidään anonyymisti. Näin voidaan erottaa esimerkiksi uudet ja palaavat kävijät. Kun suostumuksia nyt aletaan erikseen kysymään, on käyttäjien helppo olla hyväksymättä niitä ja mitattavuus heikkenee.

Kokemuksemme mukaan tiputus mitattavien kävijöiden määrässä on useammin iso kuin pieni  – helposti 50%-70% – ja vaihtelee riippuen muun muassa siitä, miten suostumuksen kysyminen muotoillaan. Ohjeissa todetaan, että mitään ennakkovalintoja ei saa olla, vaan suostumuksen pitää olla niin kutsuttu opt-in -valinta, jossa käyttäjä tietoisesti ja aktiivisesti antaa suostumuksensa. Kyse on jo pelkästään mukavuudenhalusta tai laiskuudesta – antaakseni suostumukseni joudun näkemään vaivaa ja se jää pelkästään siksi helposti tekemättä. Ei siis kannata antaa markkinoinnin johdolle potkuja, jos sivuston kävijämäärät tippuvat rajusti. Tämä on uusi normaali. Uusi ohjeistus ei myöskään ole ainut mittaamista vaikeuttava asia. Isoja muutoksia tapahtuu globaalilla tasolla evästeiden käsittelyn rajoituksissa koko ajan muutenkin ja muutoksia tulee myös jatkossa.

Älä unohda kehittää jo olemassa olevaa

Jo aiemmin palveluntarjoajien on pitänyt huolehtia tietosuojaselosteesta sekä käyttäjien informoimisesta yleisesti, mukaanlukien tieto käytetyistä evästeistä ja niiden käyttötarkoituksista. Näiden tulee olla edelleen kunnossa ja ajan tasalla, samoin kuin taustalla olevat muut asiaan liittyvät prosessit ja dokumentaatio kuten organisaation seloste käsittelytoimista. Näistä löydät hyvin lisätietoja Tietosuojavaltuutetun toimiston verkkosivuilta.

Miten laitat suostumusten kyselyt kuntoon ja verkkosivustosi evästeet kuriin?

Jos tunnistat, että evästeiden hallinta sivuillasi ei enää uuden ohjeistuksen jäljiltä ole ajan tasalla, joudut luonnollisesti laittamaan asian kuntoon. Mikäli käytössäsi on jo ratkaisu suostumusten hallintaan, voit konfiguroida sen vastaamaan uutta ohjeistusta. 

Yleisin ratkaisu on asentaa sivustolle suostumusten hallintaohjelmisto (englanniksi Content Management Platform, CMP). Se näkyy käyttäjälle yleensä bannerina sivustolle tullessa ja huolehtii muutamasta oleellisesta asiasta: 1) suostumuksen kysymisestä, 2) sen hallinnasta myös jälkikäteen, 3) tuottaa tiedot käytössä olevista evästeistä ja 4) antaa palveluntarjoajalle mahdollisuuden osoittaa suostumuksen hallinnan. Näin käyttäjä voi tehdä informoituja päätöksiä siitä, mihin suostumuksensa haluaa antaa. Vaihtoehtoisia ratkaisuja on olemassa muutamiakin.

Kiinnitä näihin asioihin huomiota evästeiden hallinnassa

Ratkaisun käyttöönotossa ja asetuksien laittamisessa kohdalleen on muutama tärkeä ja huomionarvoinen asia, jotka on syytä nostaa tässä esiin. 

Ensimmäinen kohta on se, että evästeiden hallinta toteuttaa teknisesti sen mitä on kuvattu eli mitään ylimääräistä ei asenneta käyttäjän koneelle, jos siihen ei ole saatu suostumusta. Vaikuttaa itsestään selvältä, mutta on usein hankalampaa kuin voisi luulla. Evästeitä käytetään paljon ja eri evästeiden toimiminen ja pois kytkeminen suostumuksen mukaisesti ei ole aina suoraviivaista. 

Toiseksi on tärkeää, että suostumusten käsittely ja evästeiden hallinta toimii kaikilla sivuston sivuilla riippumatta siitä, mihin käyttäjä tulee. Siis muuallakin kuin kotisivulla. Usein on myös syytä ottaa huomioon, että haluat pyytää kerralla suostumuksen useammalla verkkosivustolle tai -tunnukselle (domain) tai alidomaineille. Yleisin on tapaus, jossa kotisivut (esimerkiksi www.yritys.fi) ja verkkokauppa (esimerkiksi kauppa.yritys.fi) muodostavat liiketoiminnan ja asiakkaan palvelun kannalta yhtenäisen kokonaisuuden. Teknisesti molemmat ovat eri alustoilla ja käyttävät erillisiä evästeitä. Niin käyttäjän kuin palveluntarjoajan kannalta on silloin parempi, että evästeet kysytään molempiin kerralla.

Kolmanneksi on tärkeä varmistaa, että muiden evästeiden hallinta ei haittaa  sivuston toimintaa ja ne toimivat normaalisti sikäli kun niille on suostumus saatu. Mittaamisen kannalta on erityisen tärkeää, että saadaan vähenevästä datasta kaikki talteen.

Mihin suuntaan evästeiden kanssa ollaan menossa?

Evästeet ovat uusi peruna ja kuuma sellainen. Tasapainoilu käyttäjäkokemuksen, tietosuojan ja markkinoinnin analytiikan välillä jatkuu ja evästeiden hallinta on sen keskiössä ainakin seuraavat pari vuotta. Niin sanottujen kolmansien osapuolien evästeiden kieltäminen on jo alkanut ja olemme siirtymävaiheessa. Vaikka syvällinen tietämys asian yksityiskohdista ei meille useimmille ole tarpeen, on sen merkitys hyvä tunnistaa laajasti – verkkoliikenteen mitattavuus heikkenee edelleen ellei uusia yksityisyyden suojan kannalta laajasti hyväksyttyjä menetelmiä löydetä. Markkinoinnissa ainakin siis kannattaa panostaa edelleen hyvään sisältöön.

Mistä saat apua evästeasian laittamiseksi kuntoon?

Me Louhella tarjoamme avaimet käteen –ratkaisua evästeiden ja suostumusten käsittelyyn verkkosivuilla. Jos tarvitset tukea tai apua suostumusten hallinnan ajantasaistamiseksi ja mitattavuuden varmistamiseksi, me olemme oikea taho auttamaan.