Evästelupalaput edelleen yhtä sekamelskaa

Perttu Tolvanen

Keväällä saatiin selvyyttä kotimaisiin tulkintoihin evästelupalapuista, kiitos apulaistietosuojavaltuutetun. Kovin paljon tilanne ei ole kuitenkaan parantunut. Etenkin moni verkkokauppa rikkoo varmasti tahallaan apulaistietosuojavaltuutetun linjausta evästeluvan pyytämisestä.

Esimerkiksi aiemmassa jutussa esimerkkinä käytetty Gigantti on toki muuttanut kevään jälkeen evästelupalappunsa aivan toisenlaiseksi, mutta uusi toteutus ei edelleenkään ole aivan apulaistietosuojavaltuutetun linjauksen mukainen.

Isoin virheellisyys on se, että hyväksymistä ja kieltäytymistä ei esitetä tasa-arvoisina valintoina. Jos mainonnan jäljittimiä halua rajoittaa, pitää mennä ”Teen muutoksia” -valikon kautta säätämään asetuksia.

Apulaistietosuojavaltuutetun linjaus viime keväänä oli tästä asiasta varsin selkeä:

“Jotta suostumus täyttää yleisen tietosuoja-asetuksen edellytykset, käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot. Suostumus voidaan antaa monella eri tapaa, kunhan se selkeästi osoittaa, että rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Pätevää suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Kieltäytymisen ja suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.”

Gigantin kohdalla muutos on toki ollut puutteista huolimatta merkittävä, koska vielä viime keväänä Gigantti ei antanut käyttäjille minkäänlaista valinnan mahdollisuutta.

Verkkokaupat eivät halua antaa tasa-arvoista valintamahdollisuutta, vaan tarjoavat helpon valinnan vain kaikkien jäljittimien hyväksyntään. Jos ei halua hyväksyä sokkona kaikkea, on mentävä lisävalintoihin ja ryhdyttävä klikkailemaan valintoja itselleen sopiviksi. Tämä on tietysti käyttäjän kannalta todella ärsyttävää, ja juuri siksi apulaistietosuojavaltuutettukin huomautti juuri tästä asiasta, ja linjasi, että valintavaihtoehtojen tulisi olla tasa-arvoiset.

Gigantti siis tietoisesti rikkoo tehtyä linjausta, kuten lukuisat muutkin toimijat tässä maassa.

Esimerkiksi verkkokauppa.com:

Prisma:

Stockmann.com:

Esimerkiksi Stockmann uudisti verkkokauppansa syksyllä täysin, joten uusi evästelappu on tietoisesti suunniteltu voimassaolevan ohjeistuksen vastaiseksi. On varmasti erittäin harkittua, että ”Hyväksy kaikki” on iso ja vihreä nappula, ja mahdollisuus muokata asetuksia tarjotaan pienellä fontilla ruudun toisessa laidassa.

Stockmannin kohdalla myös “Muokkaa evästeitä” -valinnan jälkeen avautuva dialogi on virheellinen, koska kyseisessä näkymässä on oletuksena valittuna kaikki kategoriat. Tämä oli toinen asia johon apulaistietosuojavaltuutettu puuttui viime keväänä. Esimerkiksi markkinointiin liittyvät valinnat eivät saisi olla oletuksena valittuna, kun käyttäjälle esitetään valintavaihtoehdot.

Puutteellisia suorituksia löytyykin todella helposti kotimaisia isoja verkkopalveluita selatessa.

Edes terveysalan toimijat eivät ole päivittäneet omia dialogejaan täysin apulaistietosuojavaltuutetun linjausten mukaisiksi, koska todennäköisesti heillekin Facebookin ja Googlen mainontajäljittimien mahdollistama kohdennettu mainonta on tärkeä työväline palveluiden markkinoinnissa. Tästä edusta ei haluta luopua ennenkuin joku viranomainen oikeasti huomauttaa asiasta.

Terveystalo:

Mehiläinen:

Toki hyviäkin suorituksia löytyy. Esimerkiksi aiemman artikkelin aiheena ollut Habbo Hotel näyttää oppikirjaesimerkin siitä miten evästelupa pitäisi pyytää. Habbon lupalapussa myös tekstit ovat esimerkillisen selkokieliset. Habbo kertoo mihin lupaa tarvitsee ja mitä erilaisilla mittaustyökaluilla tekee.

Digitoimistotkin antavat hyvin erilaisia ohjeistuksia asiakkailleen

Aiheeseen erikoistuneiden toimistojenkin suhtautuminen aiheeseen tuntuu vaihtelevan aika paljon.

Esimerkiksi digitaalisen markkinoinnin toimisto Tulos antaa omalla sivustollaan varsin hyvän esimerkkisuorituksen siitä miten nykyistä linjaa pitää toteuttaa.

Tuloksen dialogissa on tasa-arvoiset valinnat esitettynä nätisti rinnakkain. Hyväksyntä on toki vihreällä ja näin houkuttelevampi, mutta vain välttämättömät evästeet saa päälle yhdellä klikkauksella. Tämäntyyppinen dialogi on jo varmasti hyvin lähellä apulaistietosuojavaltuutetunkin ihannedialogia, ja myös laajemmin linjassa EU-tasoisten linjausten kanssa. Käyttöliittymän selkeyden näkökulmasta Tuloksen käyttämä malli on tosin kyseenalainen, koska vaikka dialogin alareunassa olevat valinnat eivät ole päällä, tulevat ne kaikki kuitenkin päälle sillä hetkellä kun käyttäjä painaa ”Hyväksy”-nappia.

Tuloksen kanssa kilpaileva Hopkins taas noudattaa alalla yleisempää mallia, jossa kieltäytyminen tai evästeiden rajoittaminen on piilotettu erillisen dialogin taakse.

Röyhkeätä konsultointia tämän asian tiimoilta löytyy myös. Esimerkiksi Into-Digital opastaa asiakkaitaan blogiartikkelilla, jossa ensimmäisenä vaihtoehtona suositellaan asentamaan kaikki jäljittimet ilman turhia kyselyitä, koska tiettävästi kukaan ei ole vielä saanut sakkoja tästä asiasta. Ei olekaan yllättävää, että Into-Digitalin omalla sivustolla kaikki mainosverkkojen jäljittimet asennetaan automaattisesti ja minkäänlaisia lupia ei kysellä.

Julkishallinnossa on tehty muutoksia, mutta…

Ehkä erikoisinta on silti se, miten kirjavaa näiden linjausten noudattaminen on julkishallinnossa.

Business Finland on edelleen harvoja esimerkkejä hyvin selkeästä evästelupalapusta, jossa myös kerrotaan selkokielisesti mihin lupaa tarvitaan kyseisellä sivustolla.

Tosin suurin muutosjulkishallinnossa viime kevääseen verrattuna on ehdottomasti evästelupalappujen katoaminen monelta sivustolta. Samalla usealta sivustolta on kadonnut Google Analyticsin tagit ja käyttöön on otettu esimerkiksi Matomo.

Esimerkiksi Vero.fi, Suomi.fi, Trafi ja Ulkoministeriö eivät kiusaa käyttäjiään lupalapuilla, koska yksikään ei asenna sellaisia jäljittimiä, jotka edellyttäisivät luvan pyytämistä. On vaikea ymmärtää, miksei tämä malli voisi olla laajemminkin julkishallinnossa käytössä. Nykyisin Valtorinkin valikoimassa on analytiikkatyökaluja, jotka eivät vaadi lupien kyselemistä käyttäjiltä.

Moni taho kuitenkin edelleen kyselee lupia julkishallinnossa ja aika kirjavin toteutuksin.

Esimerkiksi THL on muuttanut evästelupalappunsa aivan toisenlaiseksi kuin aiemmin. Nykyinen toteutus on jo varsin esimerkillinen suoritus.

THL:llä ei tosin enää ole mitään mainontaan liittyviä jäljittimiä sivustollaan, vaikka käyttäjä hyväksyisi kaikki evästeet. Hyväksymällä kaikki evästeet asentuu käyttäjälle lähinnä analytiikkaohjelmistojen jäljittimiä (Google Analytics ja Siteimprove). Tästä asiasta voisi hyvin kertoa suoraan lupalapussa. THL:n malli on silti esimerkkisuoritus paremmasta päästä.

THL voisi tosin luopua koko kyselystä vaihtamalla analytiikkatyökalujaan. Google Analytics lienee tässä tapauksessa se keskeisin syy miksi THL pyytää lupaa.

Myös Kela on remontoinut oman evästelupalappunsa täysin. Kela on tosin kehittänyt oman termin, ”oletusevästeet”, jota ei ainakaan allekirjoittaneelle ole tullut vastaan missään muualla.

Kelan toteutusta on vaikea pitää esimerkillisenä. Miksi täytyy puhua käyttäjille joistain ”oletusevästeistä”? Miksi ei ole vain ”Jatka sivustolle” -valintaa? Miksi lupalapussa ei puhuta mitään markkinointiin ja mainontaan liittyvistä tavoitteista?

Kela lataa aikamoisen joukon kohdennettuun verkkomainontaan liittyviä jäljittimiä (Google, Facebook, Twitter), jos käyttäjä hyväksyy kaikki evästeet. Kela ei tässä lupalapussa puhu näistä mitään, vaan selittää itsestäänselvyyksiä ”oletusevästeistä” (joista ei tarvitsisi kertoa lapussa mitään, eikä niihin tarvitsisi pyytää lupaa), ja jättää kokonaan avaamatta sen miksi käyttäjän pitäisi hyväksyä kaikki evästeet.

Jos haluttaisiin puhua siitä mistä on oikeasti kysymys, pitäisi Kelan valintojen olla esimerkiksi ”Jatka ilman kohdennettua mainontaa” ja ”Hyväksy kohdennettu mainonta”. Koko lupalapun otsikko pitäisi myös olla esimerkiksi ”Suostumus kohdennettuun mainontaan”, eikä täysin harhaanjohtava ”Tietoa evästeistä”.

On ymmärrettävää, että Kela haluaa hyödyntää kohdennetun verkkomainonnan mahdollisuuksia asiakkaidensa tavoittamisessa. Kelalla on paljon erilaisia kohderyhmiä, eivätkä nämä aina ole tietoisia Kelan palveluista, joten hyviä perusteluita verkkomainonnan hyödyntämiseen voi hyvinkin olla. Jos hyviä perusteita siis on, miksi asiasta ei voi puhua suoraan?

Toisenlaisiakin omituisia toteutuksia löytyy.

Esimerkiksi Poliisi ei kysy lupia, koska on todennut (aivan oikein) että he eivät lupadialogia tarvitse. Jostain käsittämättömästä syystä heillä on kuitenkin etusivunsa keskellä aivan holtittoman kokoinen varoituslaatikko asiasta. Tällainen toteutus tuntuu melkein typerämmältä mallilta kuin verkkokauppojen jättimäiset kyselylaput. Verkkokauppojen typeristä dialogeista sentään pääsee eroon.

On vaikea ymmärtää, mistä Poliisi on päätellyt, että tästä asiasta pitää varoittaa keskellä etusivua. Erityisesti kun heillä ei edes ole mitään kolmansien osapuolien jäljittimiä sivustolla, jolloin riittäisi pelkkä linkki tietosuojaselosteeseen sivun alareunassa.

Tulli taas ei ole uusista linjauksista hätkähtänyt. Evästelappu on sama kuin keväällä, ja saitin toiminta edelleen ala-arvoista käyttäjän tietosuojan näkökulmasta. Tullin evästelupalappu kun ei tee edelleenkään mitään. Kaikki jäljittimet ladataan samantien kun käyttäjä saapuu sivustolle, lupalappu on olemassa vain käyttäjien ärsyttämiseksi. Tulli lataa tosin vain pari analytiikkajäljitintä (Snoobi, Hotjar), joita todennäköisesti käytetään vain sivuston kehittämiseen, mutta sitä suuremmalla syyllä lupalappu on naurettava.

Poliisi ja Tulli ovat kumpikin esimerkkejä siitä miten eri tavoin kummallisia toteutuksia julkishallinnosta löytyy.

Moni on muuttanut kyselyitään, mutta käyttäjiä ärsyttää edelleen

Moneen muuhunkin asiaan voisi tietysti kiinnittää huomiota, mutta jos asiaa katsotaan käyttäjien näkökulmasta, on tasa-arvoisten valintadialogien puuttuminen yksi isoimmista ongelmista. Verkkokaupat ja monet muut toimijat tekevät valinnasta vaikeata, jotta saisivat mahdollisimman paljon mainontaan liittyviä jäljittimiä asennettua mahdollisimman monelle käyttäjälle.

Täten tilanne ei ole lopulta muuttunut vuodessa kovin paljoa, vaikka moni toimija onkin remontoinut omia lupalappujaan. Vuosi sitten moni ei antanut minkäänlaisia vaihtoehtoja käyttäjille. Nykyisin jo lähes kaikki antavat vaihtoehtoja, mutta aidon valinnan tekemisestä on tehty hyvin vaikeata. Tavallisen kuluttajan kannalta tilanne on edelleen varsin ärsyttävä.

Ei olekaan vaikea ennustaa, että seuraava kierros EU:n linjauksissa on entistäkin tiukempi tämän asian suhteen. Jos yritykset eivät tee kuten neuvotaan, jossain vaiheessa panokset kovenevat.

Tyhmät kysymykset kekseistä todennäköisesti katoavat muutaman vuoden sisällä

Tosin on mahdollista myös, että tilanne muuttuu tätä ennen muista syistä. Google suunnittelee blokkaavansa kaikki kolmansien osapuolten jäljittimet Chrome-selaimessa jo ensi vuonna. Viimeisimmät tiedot korvaavasta järjestelmästä kertovat systeemin perustuvan Chrome-selaimeen sisäänrakennettuun seurantaan, josta ei enää voi sivustokohtaisesti kieltäytyä. Tämä tietysti tekisi Googlesta entistäkin isomman auktoriteetin digitaalisen mainonnan alueella, joten ehdotus on kohdannut myös paljon vastarintaa.

Kuluttajien kannalta kyseinen malli ehkä tekisi netin käyttämisestä vähemmän ärsyttävää, mutta monien pienten mainosverkkojen ja verkkokauppojen kannalta kohdennetun mainonnan keskittyminen täysin Googlelle ja Facebookille ei ole välttämättä hyvä asia. Googlen päätös blokata kolmansien osapuolien jäljittimet on tosin kova isku myös Facebookille, jonka jäljittimet ovat nykyisin lähes yhtä yleiset kuin Googlen mainontatyökalujen. Facebookille tämä ei ole kuitenkaan valtava isku, koska tarkka mainonnan kohdentaminen onnistuu toki edelleen Facebookin palveluiden sisällä.

Googlen mainontatyökalujakaan jäljittimien menetys tuskin rampauttaa, koska Chromella on valtava markkinaosuus niin desktop-maailmassa kuin mobiilissa. Selaimen sisään rakennettu profilointijärjestelmä on todennäköisesti erittäin tehokas tapa kohdentaa mainontaa, vaikka täysin yksilöity mainonnan kohdentaminen lakkaakin toimimasta. Uudessa mallissa jokainen Chrome-käyttäjä on luokiteltu johonkin ryhmään, ja selain kertoo sivustolle vain sen ryhmän nimen johon käyttäjä kuuluu.

Vaikuttaa siis varsin todennäköiseltä, että seuraavan vuoden-kahden sisällä suurin osa tämän hetken mainontajäljittimistä lakkaa yksinkertaisesti toimimasta, joten lupia niihin ei ehkä myöskään silloin tarvitse kysellä.

EU:n tietosuojalainsäädäntöön tämä asia ei tietysti vaikuta, joten todennäköisesti jonkinlaisia lupalappuja nähdään jatkossakin, mutta todennäköisesti vähemmän kuin aiemmin.

On myös varsin todennäköistä, että jatkossa yhä useampi iso sivusto houkuttelee käyttäjiä kirjautumaan, jotta tietoa käyttäjän kiinnostuksista voidaan kerätä ilman kolmansien osapuolien jäljittimiä. Täten moni lupalappu siirtynee kirjautumisen yhteyteen, etenkin mediataloilla ja isoissa verkkokaupoissa. Tästäkin ilmiöstä voi toki tulla käyttäjiä ärsyttävää, mutta todennäköisesti kirjautumiseen perustuva malli on ainakin käyttäjien kannalta selkeämpää. Verkkopalveluiden on myös tarjottava jokin selkeä hyöty, jotta käyttäjät näkevät kirjautumisen vaivan ja mahdollistavat näin palveluille tarkemman seurannan ja mainonnan kohdentamisen.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 800 tilaajaa).

Aiemmin kirjoitettua samasta aihepiiristä:

Kommentit

  1. Perttu Tolvanen says:

    Tuo React & Share on tosiaan käytössä aika monella julkishallinnon saitilla. Esim. kuntien saiteilla se tulee vastaan usein.

    Monen palvelun kohdalla tuollaiset näppärät lisäkilkkeet ovat ihan ok, oli lupia kysytty tai ei, mutta kieltämättä Poliisin sivusto on sellainen, jossa toivoisi että tietosuoja-asiat on mietitty kohdalleen astetta tarkemmin.

  2. VH says:

    Nopea testaus Tuloksen verkkosivuilla osoittaa tuon “Mallikelpoisen” evästebannerin olevan lähinnä silmänlumetta.

    Vaikka valitsisit vain välttämättömät evästeet, sivusto asettaa muun muassa Google Analytics ja Hub Spotin evästeitä, sekä lähettää dataa käyttäjän selailusta doubleClick verkostoon (GA:n mainonnan kohdentaminen ja käyttäjän profilointi).

  3. Perttu Tolvanen says:

    Kiitos kommentista ja havainnoinnista. En tosiaan tuota huomannut, kun tein testejä. Siltä tosiaan näyttää, että Tuloksen tulkinta tuosta “Vain välttämättömät” on hyvin kyseenalainen.

    Tästä aiheesta on huomenna tulossa blogiin juuri jatkojuttu, jossa todetaan samantyyppisen ilmiön olevan varsin yleinen. Välttämättömiin evästeisiin luokittelee moni taho yllättävän paljon kaikenlaisia mittausevästeitä.

Jätä kommentti