Traficomin uusi evästeohje tuo ison muutoksen kotimaiseen webbiin

Perttu Tolvanen

Traficomin uusi virallinen evästeohjeistus on nyt julkaistu, ja ohje ei juurikaan muuttunut luonnoksesta. Uusi ohjeistus on todella merkittävä muutos aiempaan erittäin vapaaseen linjaan. Tietosuojavaltuutetun kanssa yhteistyössä tehty ohje lienee nyt Euroopan tiukimpia linjauksia, joten monissa eri maissa toimiville yrityksille se toimii myös hyvänä peruslinjana. Jos noudattaa Suomen ohjeistusta, pärjää muuallakin Euroopassa.

Uusi ohjeistus ei myöskään ole Traficomin itsensä keksimää tietenkään, vaan perustuu eri puolilla Eurooppaa tehtyihin tulkintoihin ja tuomioistuinten päätöksiin. Voikin siis sanoa, että nyt Suomen ohje on päivitetty vastaamaan EU:n tämänhetkistä tulkintaa asioista.

Isoin muutos tulee varmasti siitä, että nyt vihdoin on varsin selvä linja välttämättömistä evästeistä. Enää ei jokainen voi itse keksiä sitä, mitkä ovat välttämättömiä omasta mielestä, vaan ohje antaa varsin tarkkaa ohjeistusta siihen, minkälaiset evästeet voidaan asentaa ilman käyttäjän aktiivista lupaa. Toki joissain tilanteissa on edelleen varmasti edessä erilaisia tulkintoja, mutta nämä ovat isossa kuvassa varmasti aika harvinaisia.

Toinen merkittävä asia on se, että kaikki sellainen, mikä ei ole välttämätöntä, vaatii käyttäjän aktiivista toimintaa luvan antamiseksi. Verkkopalvelut eivät saa olettaa käyttäjän haluavan jotain enemmän kuin mikä on välttämätöntä. Esimerkiksi mediatalot eivät voi enää vedota oikeutettuun etuun ja asentaa mainostageja käyttäjille automaattisesti, jos nämä mainostagit seuraavat ja profiloivat käyttäjiä. Edes kirjautuneen käyttäjän muistaminen sessioiden välillä ei ole enää asia, joka voi olla voimassa ilman, että käyttäjältä olisi kysytty asiasta.

Kolmas erittäin merkittävä asia on se, että vaihtoehdot tulee esittää täysin tasa-arvoisesti. Erityisesti jos käyttäjä haluaa edetä vain välttämättömillä evästeillä, ei tämä saa vaatia mitään erityistoimia (esim. asetukset-valikkoon siirtymistä). Tämä asia jo yksinään aiheuttanee muutoksia lähes kaikille, jopa niille jotka ovat aiemmin pyrkineet noudattamaan EU-tasoisia linjauksia. Esimerkiksi edes Yle ei ole vielä saanut päivitettyä omaa evästebanneriaan tämän linjauksen mukaiseksi.

Kotimainen web muuttuu merkittävästi käyttäjien näkökulmasta

Jo nämä kolme linjausta yhdessä tulevat muuttamaan todella merkittävästi kotimaista webbiä. Enää sivustot eivät voi samantien asentaa kymmeniä seurantajäljittimiä kaikille käyttäjille, eikä vain välttämättömien valintaa voi piilottaa lisäklikkejä vaativien asetusvalikkojen taakse.

Täten uutta linjausta voidaan juhlia ehdottomasti käyttäjien voittona. Enää verkkokaupat ja mediatalot eivät voi käyttää monenkirjavia “dark patternejaan” siihen, että saisivat mahdollisimman monet käyttäjät hyväksymään kaikki mahdolliset mainontaevästeet.

On toki todennäköistä, että evästebannerit lisääntyvät kotimaisessa webissä uuden linjauksen myötä, mutta kääntöpuolena on näiden huomattavasti parempi laatu. Jatkossa bannerit mahdollistavat käyttäjille nopean ja helpon tavan hyväksyä kaikki evästeet tai jatkaa vain välttämättömillä. Tehdyt valinnat myös todennäköisesti vaikuttavat sivuston toimintaan ihan oikeasti – näinhän ei ole aiemmin todellakaan ollut.

Esimerkiksi monet valtion virastot ja ministeriöt ovat jo päivittäneet omat bannerinsa uuden ohjeistuksen mukaisiksi.

Valtiovarainministeriö:

THL:

Tulli:

Tämä tosin lienee osittain väliaikainen ilmiö. Etenkin julkishallinnossa tullaan todennäköisesti huomaamaan melko nopeasti, että jos käyttäjät saavat valita ottavatko kaikki evästeet vai ainoastaan välttämättömät, valitsee erittäin iso osa vain välttämättömät. Tämä taas tulee johtamaan esimerkiksi analytiikan osalta tilanteeseen, jossa se evästeisiin pohjautuva analytiikka ei olekaan enää kovin hyödyllinen työväline raportointiin, eikä edes sivuston kehittämiseen.

Onkin oletettavaa, että etenkin julkishallinnossa laajempien evästelupien pyytämisestä tulee samantyyppinen ilmiö kuin kävijäpalautteiden keräämisestä. Sitä tehdään projektiluonteisesti esim. kerran vuodessa, kun halutaan saada hieman lisää tietoa sivuston kävijöiden käytöksestä, ja suurimman osan aikaa sivusto ei kiusaa käyttäjiä lupalapuilla.

Isoon rooliin nousevat myös erilaiset kontekstiin sidotut lupakyselyt. Moni sivusto osaa jo tällä hetkellä kysyä lisää lupia käyttäjiltä, jos sivulla oleva sisältö vaatii laajempia lupia. Esimerkiksi Hyrian sivusto pyytää käyttäjältä lisälupaa Vimeo-videoiden kohdalla, jos käyttäjä on alunperin hyväksynyt vain välttämättömät.

Esimerkkisivulla on upotettuna Vimeo-video ja sivustoa käytetään vain välttämättömillä evästeillä.

Tämäntyyppinen kontekstisidonnainen lisälupien pyytäminen tulee varmasti kasvamaan todella paljon, kun erilaiset verkkopalvelut alkavat nyt virittää omia evästelupakäytäntöjaan.

Julkishallinnossa varmasti nähdään myös niitä organisaatioita, jotka eivät kysy lupaa isolla bannerilla sivustolle saavuttaessa lainkaan, vaan keskittyvät kysymään lisälupia käyttäjältä vasta myöhemmissä vaiheissa, kun käyttäjä on surffannut sivustolla jo pidempään. Tähän malliin voivat siirtyä myös monet kaupalliset tahot, koska esimerkiksi Google on ryhtynyt rankaisemaan sivustoja, jotka lyövät käyttäjille paljon erilaisia pop-uppeja silmille heti sivustolle saavuttaessa.

Verkkokaupat ja monet kaupalliset sivustot tulevat varmasti virittämään sivustojaan siten, että jos käyttäjä on hyväksynyt vain välttämättömät, yritetään häntä saada antamaan laajemmat luvat myöhemmissä vaiheissa, esimerkiksi oston yhteydessä.

Käyttäjien kannalta voikin olla edessä tulevaisuus, jossa erilaisia lisälupia pyydetään vähän väliä, etenkin jos yrittää käyttää palveluita vain välttämättömät hyväksyen.

Mediataloissa uusi ohjeistus aiheuttaa paljon harmaita hiuksia

Esimerkiksi mediataloillehan uusi ohjeistus on erittäin merkittävä, koska se varsin selkeästi kieltää kaikenlaisen kohdennetun mainonnan ilman käyttäjän yksiselitteistä lupaa. Mediatalot eivät saa myöskään edellyttää lupaa ehtona ilmaisten sisältöjen lukemiseen. Mainonnan esittämiseen ohjeistus ei ota kantaa, mutta kohdennettuun mainontaan täytyy olla käyttäjän lupa. Tämä voi tosin olla asia, jossa mediatalot odottavat siihen asti kunnes joku valvoja uhkaa heitä sakoilla tai oikeustoimilla, koska monelle mediatalolle tämänkaltainen linjaus viranomaisten toimesta on varmasti vaikeata nieltävää.

Uusi ohjeistus voi myös lisätä mediatalojen kiinnostusta erilaisten muurien rakentamiseen, joissa käyttäjiä pyydetään kirjautumaan nähdäkseen sisältöjä tai maksamaan pieniä summia nähdäkseen enemmän. Muurien avulla kun on aina mahdollisuus saada käyttäjästä enemmän tietoa ja ehkä samalla myös laajemmat luvat kohdennettuun mainontaan.

Voi myös olla, että mediatalot pyrkivät vaatimaan itselleen laajempia oikeuksia niiltä käyttäjiltä, joiden kanssa on siirrytty sopimussuhteeseen (esimerkiksi silloin kun käyttäjä sitoutuu maksamaan sisällöistä jonkun summan). Aiemminkin mediatalojen käytänteet kun ovat koetelleet aika paljonkin yleisiä tulkintoja näistä ohjeistuksista.

Siirtymä työllistää paljon, mutta on iso muutos kohti parempaa internettiä

Isossa kuvassa tämä muutos on silti iso askel kohti parempaa, käyttäjien kannalta paremmin toimivaa webbiä. On hyvä asia, että verkkopalveluiden pitää kysyä lupa käyttäjältä, jos aikovat tehdä jotain mitä käyttäjä ei ole yksiselitteisesti pyytänyt ja voinut ennakoida käyttämänsä sivuston tehtävästä.

Erilaisille upotettaville video-, grafiikka- ja lomakepalveluille tiukka linja voi olla aluksi kova isku, mutta todennäköisesti näidenkin kohdalla kyse on enemmän siirtymävaiheesta, jossa opetellaan tarjoamaan omista palveluista kaksi eri versiota: mittauksen kanssa ja ilman. Toki tällainen säätäminen nostaa jonkin verran kynnystä käyttää kolmannen osapuolen palikoita osana omaa verkkopalvelua, mutta tälläkin ilmiöllä on hyvät puolensa.

Digimarkkinointi-ihmisetkin mukautuvat todennäköisesti tilanteeseen nopeasti, ja kenties tulemme huomaamaan, että muutos ei ollutkaan kovin dramaattinen.

Ehkä kiinnostavin avoin kysymys on se, aikooko Traficom ryhtyä valvomaan uutta linjausta ja millä tavalla. Tällä lienee myös paljon vaikutusta siihen, puhutaanko tästä samasta asiasta vielä vuoden päästäkin, vai tapahtuuko talven aikana laaja ryhtiliike kotimaisessa webissä.

Siirtymävaiheessa työtä on nimittäin edessä paljon, niin sivustojen omistajille kuin digitoimistoille. Täten edessä on ainakin työllistävyyden näkökulmasta melkoinen savotta, jota tehtäneen pitkälle ensi kevääseen parhaassakin tapauksessa.

Ps. Allekirjoittanut puhuu tästä aiheesta myös webinaarivideolla North Patrolin Virpi Blomin kanssa. Videossa joihinkin ohjeistuksen osiin pureudutaan hieman syvemmin ja lopussa esitetään myös hieman enemmän arviota siitä mihin suuntaan koko evästesaaga on menossa.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 900 tilaajaa).

Lisää artikkeleita digitaalisesta markkinoinnista:

Kommentit

  1. Niko Vittaniemi says:

    Hyvää settiä kuten aina Perttu :) Kiitos että jaksat kirjoitella näistä aiheista. Oletko päivittämässä myös: https://vierityspalkki.fi/2018/11/29/ala-kysy-lupaa-evasteisiin-jatko-osa/ vastaamaan tätä viimeisintä?

    Viimeisimmässä evästeilmoitus ohjeistuksessahan otetaan selkeästi myös kantaa analytiikkaan riippumatta siitä onko se toteutettu Matomolla vai Google Analytiikalla.

    Lupa pitäisi kysyä oli tekniikka kumpi tahansa. Oletusarvoisesti analytiikka ei saa olla päällä koska sitä ei pidetä välttämättömänä palveluntarjoamiseksi.

    WordPress maailmassa tämä nykyinen aiheuttaa kyllä aikamoisesti haasteita. Eritoten osa jossa pitää vielä pitää lokia ihmisten hyväksynnöistä laitekohtaisesti. Lisäosat / Palvelut tämän mahdollistamiseksi kun ovat pääosin maksumuurin takana.

  2. Perttu Tolvanen says:

    Hei Niko. Kiitos kommentista!

    En muokkaa artikkeleita takautuvasti, koska se olisi melkoinen suo, eikä ole oikein hyvää journalistista käytäntöäkään. Joskus teen niihin hyvin erottuvia jälkikommentteja, joissa linkitän uudempaan artikkeliin, jos huomaan, että joku vanha juttu saa paljon liikennettä esim. Googlesta, mutta blogista löytyisi joku uudempikin artikkeli samasta aiheesta. Nuo vanhat evästejutut ehdottomasti voisivat olla sellaisia joihin voisi tehdä jonkun maininnan, että kannattaa tsekata uusimmat jutut aiheesta.

    Ja kyllä, analytiikan osalta mennään todella tiukkaan malliin uudessa ohjeistuksessa. Siitä tulen varmasti kirjoittamaan ihan oman artikkelin, kunhan pöly vähän laskeutuu. Esim. Matomohan kun osaa seurata käyttäjiä myös ilman evästeitä, eli se muista elementeistä/ominaisuuksista päättelee, että mitkä pyynnöt liittyvät yhteen, ja tekee niistä ”session”. Täten esim. erilaiset flow raportit yms hienommat raportit toimivat edelleen (tosin huonommin toki). Tällainen yksittäinen käyttäjän seuraaminen on ilman muuta ohjeen kirjainta vastaan, mutta osaan kuvitella, että moni tekee sillä tavalla silti, koska käyttäjien tietosuojan näkökulmasta ollaan kuitenkin erittäin hyvällä tasolla, jos samalla on kytketty ip-osoitteiden anynymisointi pois päältä.

    Tosin yhtä lailla on mahdollista, että tuo Matomo jää edelleen aika marginaaliratkaisuksi, koska monet asiakkaat tuntuvat kyllä laittavan evästebannerit päälle, vaikka ei olisi kovin paljon syitäkään aiheeseen. Sitten kun saa osalta käyttäjistä luvat kaikkeen, voi surutta ajella vaikka Google Analyticsia, Hotjaria ja mitä haluaa (ja tavallaan kannattaakin).

    Mitä tulee rekisterin pitämiseen hyväksymisistä yms valinnoista, niin se tosiaan on aika lailla kaupallisten toimijoiden kenttää tällä hetkellä. Julkaisujärjestelmiä tai muita ekosysteemin toimijoita ei ole oikein kiinnostanut tämä alue, joten se on jäänyt täysin kaupallisille pelureille, joiden hinnoittelumalleissa on myös ihan selvää samankaltaisuutta – eli kaikki melkein hinnoittelevat samantyylisesti ja domain-kohtaisesti yms, joten kilpailu noiden työkalujen välillä tuntuu aika pieneltä. Monelle asiakkaalle summat ovat yllättävän isoja vuositasolla, etenkin kun huomioi miten pienestä jutusta on isossa kuvassa kysymys.

    Ehkä jossain kohtaa tästä tulee vain aika tavallinen WordPressin tai Drupalin lisäosan hoitama homma, josta maksettava hintakin on olennaisesti pienempi. Olihan esim. hakukoneoptimointibuuminkin alussa paljon tällaisia aika arvokkaita lisätyökaluja, mutta muutamassa vuodessa tuli niin paljon kilpailua, että hinnatkin painuivat alaspäin, enkä usko nykyisin monen asiakkaan maksavan kovin paljon erilaisista SEO-lisäosistaan.

  3. Vesa Palmu says:

    Meillä on ainakin tulkittu tätä niin että analytiikka ilman keksejä ja käyttäjien yksilöintiä on ok. Emme kysy julkisella saitilla lupaa seurantaan koska yhtään keksiä ei lähetetä ja GDPR:n mukaista henkilörekisteriä ei synny kävijöistä. Toisaalta kun Matomon konfiguraatiossa on äärimmäisen varovainen saman analytiikan pystyisi pitkälti tekemään myös ihan serverin logeista. Kovasti tässä ollaan menossa tosiaan siihen suuntaan että syvällisempi käytön analyysi on tehtävä kyselytutkimuksena.

  4. Perttu Tolvanen says:

    Kiitos kommentista, Vesa. Matomo on tosiaan hyvä esimerkki siitä, että käytännössä varsin pätevän analytiikan saa ihan parsimalla serverin logeja, eikä tarvitse asentaa keksejä. Tällä tavalla saa erittäin hyvän datan siitä miten käyttäjät liikkuvat saitilla, olivat he hyväksyneet kaikki evästeet tai eivät.

    Minusta se ei ole lopulta mikään älyttömän huono asia edes, jos syvällisempi käytön analyysi menee projektimaisempaan hommaan. Suurin osa analytiikasta on aina mennyt ihan hukkaan, eli on ihan turhaan kerätty valtavasti dataa, eikä sitä ole kukaan koskaan kunnolla analysoinut.

    Esimerkiksi isoissakin sivustouudistuksissa riittää kohtuullinen otos jostakin ajanjaksosta, ja sitä pitää kuitenkin täydentää laadullisilla lähteillä, jotta syntyy järkevä kokonaiskuva. Täten projektimaisempi datan kerääminen ei ole ollenkaan huono asia. Väitän, että moni verkkokauppakin seuraa paljon enemmän muita mittareita kuin sitä mitä anonyymit käyttäjät tekevät saitilla – eli ei tämä uusi evästeohje heikennä kuin hieman yhtä lähdettä aika isossa kokonaiskuvassa.

Jätä kommentti