GDPR-asetus on ollut voimassa yli kolme vuotta, ja tänä aikana evästeilmoituksiin liittyvät kansalliset ohjeistukset ovat eläneet ja yksiselitteistä ohjetta on ollut vaikeaa löytää. Traficom on  syksyn aikana tarkentamassa ohjeistustaan, mikä vaatinee viimeistään siirtymään ”Tämä sivusto käyttää evästeitä” -tyyppisistä ilmoituksista aitoon evästeiden hallintaan. Tällöin käyttäjä voi yhtä helposti kieltää tai myöntää oikeuden evästeisiin ja myös muuttaa antamaansa suostumusta.

Jos asia ei ole yksinkertainen ohjeistusten näkökulmasta, evästeilmoituksen oikeaoppinen tekninen toteutuskaan ei ole yksinkertaisimmasta päästä. Haastavan teknisestä toteutuksesta tekee se, että evästeitä asettavia skriptejä voi tulla esimerkiksi WordPress-sivustolle usealla eri tavalla, joista osa on sivuston teknisen toteuttajan hallinnassa ja osa ei. 

Evästeilmoituksella hallittavia skriptejä voi tulla esimerkiksi:

1. Sivuston toimittajan omasta teema- ja lisäosakoodista
2. Kolmannen osapuolen lisäosakoodista
3. Asiakkaan tekemien iframe-upotusten kautta
4. Kolmannen osapuolen hallinnoimasta Google Tag Managerista

Julkaisujärjestelmän lisäosilla tai toimittajan omilla koodivirityksillä pystytään kohtuullisesti hallitsemaan kohdat 1 ja 2, mutta varsinkin asiakkaan tekemien upotusten ja Google Tag Managerin kohdalla lisäosien ja omien ratkaisujen rajat tulevat nopeasti vastaan tai vähintään päädytään manuaaliseen ylläpitotyöhön jokaisen uuden skriptin tai upotuksen kohdalla.

Tästä syystä toistaiseksi parhaaksi vaihtoehdoksi on kokemuksemme mukaan osoittautunut SaaS-palvelu, joka perustuu evästeiden skannaamiseen ja automaattiseen luokitteluun eri luokkiin. Eri palveluita arvioituamme olemme päätyneet Cookiebot-palveluun, joka tarjoaa evästeiden skannaamisen, automaattisen luokittelun ja valmiin peruskäyttöliittymän.

Eri palveluita arvioituamme olemme päätyneet Cookiebot-palveluun, joka tarjoaa evästeiden skannaamisen, automaattisen luokittelun ja valmiin peruskäyttöliittymän.

Koska tilastojen mukaan noin 0,03% evästeet hyväksyneistä käyttäjistä säätää eri evästeluokkia tarkemmin, tarjoamme omille asiakkaille ensisijaisesti ”Hyväksy vain välttämättömät / hyväksy kaikki” -valintaa.

SaaS-palveluna toteutettu suostumustenhallinta ei kuitenkaan ole ”asenna ja unohda” -ratkaisu, vaan sen käyttöönotto vaatii evästeiden manuaalista luokittelua, käyttöliittymän muokkausta sekä muutostöitä sivustolle, mikäli halutaan, että käyttäjän valinnat aidosti estävät ne evästeet, jotka sen kuuluukin estää.

Tyypillisin ongelma vastaan tulleissa Cookiebot-evästeilmoituksissa on, että analytiikkaskripti tai jokin muu ei-välttämätön eväste ladataan, vaikka hyväksyttynä on vain välttämättömät evästeet. Useimmiten tämä johtuu virheellisestä asennuksesta, jossa analytiikkaskripti tai Google Tag Manager ladataan ennen Cookiebot-skriptiä, jolloin ne ehditään lataamaan ennen evästehyväksyntää.

”Välttämättömät” evästeet

Joissain tapauksissa on ollut kyllä syytä epäillä, että analytiikka on jätetty tarkoituksella evästehyväksynnän ulkopuolelle, koska yllättävän useat käyttävät mahdollisuutta hyväksyä vain välttämättömät evästeet.

Saatavan seurantadatan kattavuus voi olla jopa 50% pienempi, mikä ymmärrettävästi ei ole markkinointitiimien mieleen. Seurantadatan pienemiseen on kuitenkin syytä totutella, koska käyttäjän seuraamista on vaikea perustella loppukäyttäjän itsensä kannalta välttämättömäksi toiminnoksi.

Ylipäätään on hyvä huomata, että välttämättömyys ei perustu sivuston omistajan mielipiteeseen, mikä tulee usein esiin erityisesti erilaisten javascript ja iframe-upotusten kohdalla. Sivuston omistajan mielestä voi olla välttämätöntä ladata iframella upotetut Youtube- tai Vimeo-videot huolimatta evästehyväksynnästä, mutta juuri tällaiselta hallitsemattomalta seurannalta loppukäyttäjää yritetään suojella.

Automatiikkaan perustuvalla estämisellä on SEO-vaikutuksia

Käyttäjälle näkyvien vaikutusten lisäksi evästeilmoituksesta aiheutuu myös SEO-vaikutuksia. Koska Cookiebotin automaattiversion toiminta perustuu siihen, että se ladataan blokkaavasti ensimmäisenä, sen käyttöönotto aiheuttaa poikkeuksetta laskua Googlen Pagespeed- ja Web Vitals -testeissä.

Evästeilmoituksen käyttöönotto vaatii muutoksia sivustoihin

Vastaan on tullut myös tapauksia, joissa Cookiebotin automatiikka estää sivuston toiminnan kannalta välttämättömän skriptin, jos se sisältää esimerkiksi viittauksen Youtube-soittimen toteuttavaan javascript-kirjastoon. Kun Cookiebot tunnistaa tiedostossa jotain seurantaevästeiden asettamiseen viittavaa, myöskään sen välttämättömiä osia ei ladata, mikä voi aiheuttaa monenlaisia ongelmia sivuston perustoiminnoissa.

Javascript-tiedostojen yhdistämisessä tuleekin olla jatkossa huomattavasti aiempaa tarkempana. Jos javascript-tiedostot on aikaisemmin yhdistetty yhdeksi tiedostoksi suorituskyvyn ja latausnopeuden optimoimiseksi, jatkossa tarvitaan vähintään toinen tiedosto ei-välttämättömälle javascriptille.  Tämä koodin jakaminen välttämättömään ja ei-välttämättömään on täysin manuaalista käyttöönottovaiheessa tehtävää työtä.

Jos javascript-tiedostot on aikaisemmin yhdistetty yhdeksi tiedostoksi suorituskyvyn ja latausnopeuden optimoimiseksi, jatkossa tarvitaan vähintään toinen tiedosto ei-välttämättömälle javascriptille. 

Google Tag Manager on myös mielenkiintoinen kokonaisuus. Yleisimmässä käyttötapauksessa sen kautta ladataan ainoastaan seuranta-, markkinointi- ja mainontaskriptejä, mutta periaatteessa sen kautta voi tulla sivustolle myös sivuston perustoiminnan kannalta olennaisia skriptejä.

Google Tag Managerin lisäksi harmaalle alueelle jää vielä useita eri palveluita, kuten esimerkiksi fonttipalvelut. Toisaalta fontti on olennainen osa välttämätöntä kokemusta, mutta halutessaan kyseisten palveluiden omistajat voivat seurata käyttäjän toimintaa niiden sivustojen välillä, jotka käyttävät samaa palvelua. Tällöin se ei enää olekaan välttämättömyys, vaan seurannan väline.

Evästeet ovatkin vain yksi tapa seurata käyttäjää ja huomio on ehkä liiaksi keskittynyt niihin, mutta kun puhutaan monimutkaisista kokonaisuuksista, jostain pitää aloittaa. Pidän hyvänä kehityksenä sitä, että käyttäjän kontrollia omaan yksityisyyteensä netissä lisätään, vaikka erityisen helppoa tapaa siihen ei teknisen toteuttajan näkökulmasta toistaiseksi vielä ole. Sivuston omistajan näkökulmasta SaaS-palveluna toteutettu ratkaisu täyttää parhaiten tulevan ohjeistuksen ja pitkällä tähtäimellä on myös edullisin, vaikka sen perustamisesta ja ylläpidosta tuleekin kustannuksia.