Facebookin ja Googlen jäljittimet julkishallinnossa – miksi?

Perttu Tolvanen

Parin viikon takainen artikkeli tuotti palautteena pari kyselyä siitä, miksi isoilla julkishallinnon sivustoilla näkyy eväste-pop-uppeja. Suomessa vallitsevan ohjeistuksen mukaan julkishallinnon sivustoilla ei tarvitsisi pop-uppeja käyttää kuin erikoistapauksissa.

Kysymys on erittäin hyvä.

Jos katsotaan esimerkiksi muutamaa isoa julkishallinnon sivustoa, joilta typerät eväste-pop-upit löytyvät, syitä löytyy useita. Katsaukseen on poimittu muutamia ajankohtaisia julkishallinnon sivustoja.

Esimerkki 1: THL

THL ei avaa evästekyselynsä syitä pop-upissa, vaikka uusin EU-linjaus niin kehottaa, mutta lisätietojen takaa löytyy hyviä syitä siihen, miksi THL:n lakimiehet ovat eväste-pop-upin vaatineet sivustolle. Sivustolla on käytössä muun muassa Google Analytics ja monia muita kolmansien osapuolien jäljittimiä. Jostain syystä sivustolla on myös Google DoubleClickin trackkerit, mitä on kyllä aika vaikea ymmärtää THL:n kaltaiselta toimijalta. Etenkin tuosta DoubleClickin trackkerista olisi syytä mainita jollain tapaa evästelupalapussa, eikä DoubleClickin trackkereita saisi asentaa automaattisesti sivustolle saavuttaessa.

Kansalaisena voisi ehkä olettaa, että THL:n kaltaisen viranomaisen sivustolla surffailu olisi anonyymia, mutta käytännössä ainakin Googlen profiilitietokanta karttuu THL:n sivustoa selaillessa. “Mahdollisimman hyvä käyttäjäkokemus” tarkoittaa tässä analytiikkatietojen luovuttamista kolmansille osapuolille, esimerkiksi mainontatarkoituksiin.

Ehkä tästä ei yksilötasolla synny kovin suurta riskiä kenellekään, mutta onhan tämä kieltämättä omituista isolta julkishallinnon toimijalta ja etenkin terveyssektorin toimijalta.

Esimerkki 2: Tulli

Tullin eväste-pop-up saa pisteitä selkokielisyydestä, koska se kertoo miksi lupaa kysytään. Tullilla on käytössä esimerkiksi Hotjar-työkalu, joka seuraa käyttäjiä todella monipuolisesti. Tällaiseen onkin ehkä syytä kysyä lupa.

Valitettavasti Tullin saitilla on kuitenkin myös Facebookin trackkerit, eikä tästä asiasta mainita pop-upissa mitään. Facebookin Social Graph -trackkerit ovat lähes verrattavissa Googlen DoubleClickin trackkereihin, joten lupa mainontatarkoituksiin pitäisi ehdottomasti kysyä.

Tullin sivusto myös asettaa kaikki evästeet paikalleen välittömästi, eli “Hyväksy”-nappula ei todellisuudessa tee mitään. Tämäkin on nykyisen EU-linjauksen vastainen toimintamalli.

Facebookin jäljittimistä ei ole mainintaa Tullin muutoin varsin kattavalla käyttöehdot-sivulla, joten on tietysti mahdollista, että ne on kiinnitetty epähuomiossa jonkun Facebook-nappulan lisäämisen yhteydessä.

Esimerkki 3: Kela

Kela saa isot pisteet evästeiden asennusmallista, koska Kela ei asenna yhtään kolmannen osapuolen evästettä ennen kuin käyttäjä on painanut “Hyväksy”-nappulaa.

Kela käyttää eväste-pop-uppia pyytääkseen luvan tehokkaampaan seurantaan ja mainontatrackkereihin, ja tämä kaikki sanotaan varsin suoraan lupalapussa. Kela perustelee seurantaa paremmalla palvelulla, joka tarkoittaa käytännössä esimerkiksi mainosten ostamista ja näyttämistä Facebookissa niille henkilöille, jotka ovat vierailleet Kelan sivustolla. Pisteitä Kela saa myös avoimesta viestinnästä, lupaa pyydetään juuri siihen mitä ollaan tekemässä.

Kelan toteutus on kuitenkin monella tapaa kummallinen. Kela ei tarjoa esimerkiksi mahdollisuutta olla hyväksymättä ehtoja, ja mikäli käyttäjä menee esimerkiksi lukemaan käyttöehtoja, hänelle muistutetaan erikseen sivun yläreunassa, että hän ei ole vielä hyväksynyt evästeitä. Tämä on aivan käsittämätön toteutusmalli tilanteessa, jossa on kysymys siitä, voiko Kela kohdentaa mainoksia käyttäjille sosiaalisessa mediassa.

Miksi Kelan pitää pystyä kohdentamaan mainoksia käyttäjille? Miksi Kelan sivustoa ei voi käyttää rauhassa anonyymisti? Miksi tätä Kelan ydintoiminnan kannalta täysin epäolennaista asiaa ei pysty ohittamaan helposti?

Kelan asentama jäljitinvalikoima on myös melko massiivinen setti julkishallinnon toimijalle. Asennukseen menevät niin Google DoubleClickin trackkerit kuin Facebookin kohdennustrackkerit.

Asetusvalikosta seurannan voi minimoida, jolloin kolmannen osapuolen trackkerit jäävät pois. Tämä edellyttää kuitenkin Kelan eväste-pop-valikon käyttölogiikan ymmärtämistä. Evästeasetukset-valikon avaamisen jälkeen, pitää nimittäin ymmärtää painaa “Tallenna valinnat” -nappia, joka esitetään harmaalla vasemmassa alareunassa. “Hyväksy”-nappula jää edelleen näkyville ja se esitetään edelleen voimakkaampana valintana. Esimerkiksi tämän artikkelin ensimmäinen julkaistu versio (artikkelia on korjattu Kelan eväste-pop-upin toiminnan osalta 20.4.2020 klo 18.00) perustui siihen käsitykseen, että “Evästeasetukset”-näkymässä olevat valinnat jäävät voimaan, jos käyttäjä valitsee tässä näkymässä “Hyväksy”. Kuva valikosta:

Jos tässä näkymässä valitsee “Hyväksy”, hyväksyy kaikki Facebookin ja Googlen ja muiden kolmansien osapuolien jäljittimet, vaikka alapuolella olevat valinnat ovat punaisella ja “X”-merkinnällä varustetut. Kävijäseurannan rajoittaminen edellyttää, että tässä näkymässä ymmärtää valita harmaalla esitetty “Tallenna valinnat”.

Kelan sivustoa on siis hyvin vaikea käyttää ilman Facebookin ja Googlen jäljittimiä, eikä se monelta käyttäjältä todennäköisesti onnistu, vaikka yrittäisi.

Kelan käyttöehdoissa sanotaan, että Kela ei näiden trackkereiden avulla pysty tunnistamaan yksittäisiä henkilöitä, mutta tämähän ei estä Facebookia ja Googlea tunnistamasta yksittäisiä henkilöitä (ja mainonnan kohdennushan käytännössä edellyttää sitä).

Kelan sivuston selailuhistorian perusteella pystynee aika monesta ihmisestä päättelemään varsin paljon ihmisen elämäntilanteesta, perhetilanteesta ja taloudellisesta tilanteesta. Onko tämä todella tietoa, joka pitäisi kaikista Kelan sivustolla vierailevista henkilöistä antaa Facebookille ja Googlelle? Kelan mielestä vastaus vaikuttaa olevan kyllä, koska jäljittimien asennukseen kannustetaan näin voimakkaasti. Ensimmäisellä ruudulla ei käyttäjälle edes anneta muita vaihtoehtoja kuin kaikkien jäljittimien hyväksyminen. Kieltäytyminen on piilotettu ensin “Evästeasetukset”-valikon taakse, ja tämän jälkeen käyttäjän tulee vielä ymmärtää valita harmaa “Tallenna asetukset”-nappula, vaikka dialogi edelleen kannustaa “Hyväksy”-nappulan painamiseen.

Omituisia esimerkkejä löytyy julkishallinnosta todella paljon

Näiden muutaman erikoisemman esimerkin lisäksi löytyy esimerkiksi jonkin verran sivustoja, jotka kysyvät lupaa evästeisiin, vaikka siihen ei olisi oikein mitään järkevää syytä.

Moni virasto esimerkiksi tulkitsee Google Analyticsin käytön edellyttävän evästeluvan kysymistä, ja tämä onkin ihan oikea tulkinta nykyisten linjausten valossa (aiemmin se oli enemmän harmaalla alueella). Voi kuitenkin kysyä, miksi nämä virastot käyttävät Google Analyticsia edelleen, kun tarjolla on pilvin pimein vaihtoehtoisia ratkaisuja, jotka eivät vaadi tuota luvan kysymistä ja mahdollistavat kerätyn datan pitämisen täysin omassa hallinnassa.

Esimerkiksi Piwik/Matomo onkin selvästi yleistynyt parin viime vuoden aikana julkishallinnossa, koska tällöin ei tarvitse miettiä kysymyksiä datan joutumisesta vääriin käsiin tai johonkin muuhun käyttöön.

Osa ei kysele turhia, mutta seuraa kuitenkin

Esimerkiksi HUS:in saitilla on Facebook Connect -trackkerit paikallaan, mutta sivusto ei kysy lupia käyttäjiltä lainkaan, kuten ei sairaanhoitopiirin sivuston olettaisikaan. Myöskään Poliisi ei kysele mitään turhia lupia käyttäjiltä, mutta saitilla on kuitenkin Facebookin trackkerit, joten oikeasti lupia pitäisi kysyä.

Julkishallinnon pitäisi vain vähentää seurantaa

Useimpien julkishallinnon toimijoiden ei kannattaisi vaivata näillä asioilla päätään. Järkevintä olisi vain vähentää erilaisten seurantatyökalujen käyttöä, ainakin pysyvässä käytössä. Esimerkiksi Hotjarin kaltaisia työkaluja voi olla fiksua käyttää kausiluonteisesti, kun vaikkapa valmistautuu uudistukseen, mutta jatkuva käyttö on ehkä vähän erikoista.

Mainontatrackkereiden käyttöä on kuitenkin todella vaikea ymmärtää. On toki mahdollista, että Kelalla esimerkiksi on ihan hyviä syitä pyrkiä tavoittamaan joitain käyttäjäryhmiään paremmin sosiaalisen median kanavissa. Tuntuu kuitenkin hurjalta, että tämän tarpeen seurauksena kaikkia Kela.fi:n käyttäjiä halutaan seurata sekä Facebookin että Googlen jäljittimillä.

Voi olla, että esimerkiksi opiskelijoiden tavoittaminen ja hakujen päivämääristä muistuttaminen voi tehostua, jos Kelan sivustolla opintotukisivuja selailleille voidaan kohdentaa Facebookissa ja Instagramissa mainontaa. Tämän toteutuksen seurauksena Facebook ja Google kuitenkin tietävät myös suuresta osasta muistakin Kelan asiakkaista heidän perhetilanteensa, elämäntilanteensa ja todennäköisesti myös asioita taloudellisesta tilanteesta. Toki tätä kaikkea on varmasti Facebookin ja Googlen vaikea tulkita, mutta tiedon siirtyminen on todellisuutta.

On myös hyvin vaikea kuvitella, että Kelan asiakkaat ymmärtäisivät, mitä tämän tiedon siirtymisestä voi potentiaalisesti seurata. On vaikea ylipäätään sanoa, osaako kukaan ajatella sitä kovin selvästi. EU:n asettaman lainsäädännön ideana on kuitenkin se, että jos tällaista tiedonsiirtoa tapahtuu, siitä pitää yksiselitteisesti kertoa, ja käyttäjän pitää aktiivisesti valita haluavansa tulla seuratuksi kolmansien osapuolien toimesta.

Voinee myös kysyä, onko Kelan tai minkään julkishallinnon yksikön todella tarpeellista luovuttaa selailutietoja Facebookille ja Googlelle. Onko kohdennetun mainonnan täysin yksilöitävä kohdentaminen todella niin tarpeellista?

[Artikkelia on päivitetty 20.4.2020 klo 18.00 (noin kuusi tuntia ensimmäisen version julkaisun jälkeen) Kelalta tulleen asiavirheiden korjauspyynnön perusteella. Alkuperäisessä artikkelissa Kela.fi:n eväste-pop-upin toimintalogiikka oli ymmärretty väärin. Käyttäjä voi kieltäytyä Kela.fi:ssa seurannasta valitsemalla ensin “Evästeasetukset” ja tämän jälkeen “Tallenna valinnat”-valintapainikkeen. Artikkelin valmistelussa ei oltu havaittu “Tallenna valinnat”-painikkeen toimivan tällä tavalla, vaan oli oletettu seurantaan liittyvien valintojen ja “Hyväksyntä”-painikkeen olevan yhteydessä toisiinsa. Kelan mukaan Kela.fi:ssä on myös karsittu seurantatrackkereiden kattavuutta. Lainaus Kelan viestistä Vierityspalkille: “…olemme vielä erikseen karsineet mainospikselit arkaluontoisemmilta sivuilta (kuten sairastaminen, toimeentulotuki, lääkekorvaukset), jolloin käyttäjän vierailua ko. sivuilla ei seurata edes silloin, kun käyttäjä antaa siihen suostumuksen.”]

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 800 tilaajaa).

Aiemmin samasta aihepiiristä kirjoitettua:

Kommentit

  1. Teppo Marttila says:

    Oletko tehnyt asiassa valituksia Traficomille? Sehän katsoo, että Suomessa suostumusta ei tarvitse pyytää!

  2. Jukka says:

    Moi,

    Teppo: näistä Suomen viranomaistulkinnoista pitäisi jossain vaiheessa alkaa väsäämään formaalia valitusta EDPS:lle ja mainintaa EDPB:lle. Traficomista pitäisi toki sanoa ensin oikeusasiamiehelle.

    Kaiketi käytännön ongelma on siinä, että odotetaan jonkinlaista ennakkopäätöstä. Toisaalta esimerkiksi Ranskan CINIL on ottanut asiaan tiukan kannan jo nyt.

  3. Jambo says:

    Apulaistietosuojavaltuutetulla oli vastaavaan asiaan sanottavaa..

    “Bannerin kautta annettavan suostumuksen ei voitu katsoa täyttävän vapaaehtoisen suostumuksen edellytyksiä, eikä suostumuksesta kieltäytymistä tai sen peruuttamista ollut tehty yhtä helpoksi kuin suostumuksen antamista. Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää.”

  4. Perttu Tolvanen says:

    Juuri näin, reilu viikko sitten julkaistu asia todennäköisesti muuttaa tätä asiaa Suomessa aika paljon. Tästä olen kirjoittamassa myös jatkojuttua, vaikka eihän tämän vaikutuksista vielä paljon tiedetä, mutta ainakaan enää ei voi kukaan vedota tuohon Traficomin typerään ohjeistukseen aiheesta.

    https://tietosuoja.fi/artikkeli/-/asset_publisher/apulaistietosuojavaltuutettu-maarasi-yrityksen-muuttamaan-tapaa-jolla-se-pyytaa-suostumusta-evasteiden-kayttoon

Jätä kommentti