Skip to main content

Näin kirjoitat evästekäytännön: vaiheittainen opas

Evästekäytäntö on juuri niin hyvä kuin sen tarkkuus ja selkeys. Tämä opas johdattaa sinut sellaisen evästekäytännön laatimiseen, joka täyttää lakisääteiset vaatimukset, palvelee käyttäjiäsi ja pysyy ajan tasalla. Seuraa näitä yhdeksää vaihetta ja tuota käytäntö, joka on kattava, läpinäkyvä ja ylläpidettävä.

Vaihe 1: Kartoita evästeesi

Ennen kuin voit kirjoittaa evästeistäsi, sinun on tiedettävä tarkalleen, mitä evästeitä verkkosivustosi asettaa. Tämä on koko käytännön perusta – ja vaihe, jonka useimmat organisaatiot tekevät väärin.

Perusteellinen evästekartoitus sisältää:

  1. Jokaisen sivun skannauksen. Evästeet voivat vaihdella sivuittain. Etusivusi saattaa asettaa eri evästeitä kuin kassasivusi, blogisi tai tilisivusi. Kattavan kartoituksen on katettava kaikki sivutyypit.
  2. Ensimmäisen ja kolmannen osapuolen evästeiden tallentamisen. Ensimmäisen osapuolen evästeet asettaa oma verkkotunnuksesi. Kolmannen osapuolen evästeet asettavat ulkoiset palvelut – analytiikka-alustat, mainosverkostot, sosiaalisen median widgetit, upotetut videot, chat-widgetit, maksupalvelut ja niin edelleen.
  3. Muun kuin evästetallennuksen tunnistamisen. Nykyaikaiset verkkosivustot käyttävät myös localStoragea, sessionStoragea, IndexedDB:tä ja pikselitunnisteita. Kattava käytäntö kattaa kaikki asiakaspään tallennusmekanismit, ei pelkkiä HTTP-evästeitä.
  4. Testauksen suostumuksen kanssa ja ilman sitä. Osa evästeistä asetetaan suostumuksesta riippumatta (ehdottoman välttämättömät evästeet). Toisten pitäisi ilmestyä vasta suostumuksen antamisen jälkeen. Kartoituksesi tulisi varmistaa, että ei-välttämättömät evästeet ovat todella estetty, kunnes suostumus annetaan.

Manuaaliset kartoitukset ovat epäluotettavia. Selaimen kehittäjätyökalujen avaaminen käsin muutamalla sivulla jättää huomaamatta asynkronisesti latautuvien kolmannen osapuolen skriptien asettamat evästeet, vain tiettyjen käyttäjätoimintojen yhteydessä asetetut evästeet sekä evästeet, jotka ilmestyvät vasta myöhemmillä käynneillä. Käytä automaattisia skannaustyökaluja saadaksesi kokonaiskuvan.

Passiron automaattinen evästeskanneri käy läpi koko verkkosivustosi, tunnistaa jokaisen evästeen ja tallennusmekanismin sekä toimittaa luokitellun raportin – ihanteellinen lähtökohta käytännöllesi.

Vaihe 2: Luokittele jokainen eväste

Kun sinulla on täydellinen luettelo evästeistä, järjestä ne vakioluokkiin. Laajimmin hyväksytty luokittelu, jota IAB Transparency and Consent Framework käyttää ja jota useimmat tietosuojaviranomaiset suosittelevat, on:

Ehdottoman välttämättömät

Evästeet, joita ilman verkkosivusto ei toimi. Esimerkkejä: kirjautumistilan istuntoevästeet, ostoskorin evästeet, CSRF-suojaustunnisteet, kuormantasaajan evästeet, evästesuostumuksen asetusevästeet. Nämä on vapautettu suostumusvaatimuksesta ePrivacy-direktiivin 5 artiklan 3 kohdan nojalla, mutta ne on silti ilmoitettava käytännössäsi.

Asetukset / toiminnalliset

Evästeet, jotka mahdollistavat parannellun toiminnallisuuden ja personoinnin. Esimerkkejä: kielivalinta, alue-/valuutta-asetus, kirjasinkoon asetukset, viimeksi katsotut tuotteet. Nämä eivät ole ehdottoman välttämättömiä – sivusto toimisi ilman niitäkin – mutta ne parantavat käyttäjäkokemusta. Ne edellyttävät suostumusta.

Analytiikka / tilastot

Evästeet, joita käytetään keräämään tietoa siitä, miten kävijät ovat vuorovaikutuksessa verkkosivuston kanssa. Esimerkkejä: Google Analytics -evästeet (_ga, _gid), Hotjarin istuntoevästeet, Plausible Analytics. Nämä edellyttävät suostumusta useimmilla EU:n lainkäyttöalueilla, joskin jotkin tietosuojaviranomaiset (erityisesti ranskalainen CNIL) ovat luoneet rajallisia poikkeuksia tiukat ehdot täyttäville yleisömittaustyökaluille.

Markkinointi / mainonta

Evästeet, joita käytetään kohdennettuun mainontaan, uudelleenmarkkinointiin ja mainonnan tehokkuuden mittaamiseen. Esimerkkejä: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, mainosverkostojen evästeet. Nämä edellyttävät aina suostumusta ja ovat tarkimmin tarkasteltu luokka.

Määritä jokaiselle evästeelle luokka ja varmista, että luokittelu on oikea. Yleinen virhe on luokitella analytiikka- tai markkinointievästeet "toiminnallisiksi" suostumusvaatimuksen välttämiseksi – tämä on vaatimustenvastaista ja viranomaisten helposti havaittavissa.

Vaihe 3: Kirjoita johdanto

Evästekäytäntösi tulisi avata lyhyellä johdannolla, joka kattaa:

  • Kuka olet. Verkkosivustoa ylläpitävä oikeushenkilö (yrityksen nimi, rekisteröity osoite).
  • Mitä tämä asiakirja kattaa. "Tämä evästekäytäntö selittää, miten [yrityksen nimi] käyttää evästeitä ja vastaavia teknologioita sivustolla [verkkosivuston URL]."
  • Milloin se on viimeksi päivitetty. Sisällytä näkyvä päivämäärä.
  • Miten sinuun voi ottaa yhteyttä. Anna yhteyssähköposti ja tarvittaessa tietosuojavastaavasi tiedot.

Pidä johdanto kahden tai kolmen lauseen mittaisena. Käyttäjät ovat täällä hakemassa tiettyä tietoa, eivät yrityssanamääräistä alkusanaa.

Vaihe 4: Selitä, mitä evästeet ovat

Sisällytä lyhyt, ei-tekninen selitys siitä, mitä evästeet ovat. Monet kävijöistäsi eivät tiedä sitä. Hyvä selitys on:

Evästeet ovat pieniä tekstitiedostoja, jotka tallennetaan laitteellesi (tietokoneelle, tabletille tai puhelimelle), kun vierailet verkkosivustolla. Niitä käytetään laajalti sivustojen toiminnan varmistamiseen, tehokkuuden parantamiseen ja tiedon tuottamiseen sivuston omistajille. Vierailemasi sivuston asettamia evästeitä kutsutaan "ensimmäisen osapuolen evästeiksi". Muiden yritysten (esimerkiksi analytiikka- tai mainospalvelujen) asettamia evästeitä kutsutaan "kolmannen osapuolen evästeiksi".

Jos sivustosi käyttää HTTP-evästeiden lisäksi muita teknologioita – kuten localStoragea, pikselitunnisteita tai sormenjälkitunnistusta – mainitse myös ne. "Tässä käytännössä käytämme termiä 'evästeet' viittaamaan evästeisiin ja vastaaviin teknologioihin, ellei toisin mainita."

Vaihe 5: Luettele evästeet taulukkomuodossa

Esitä evästeesi jäsennellyssä taulukossa, luokittain järjestettynä. Sisällytä jokaisesta evästeestä:

Kenttä Kuvaus Esimerkki
Nimi Evästeen tekninen nimi _ga
Tarjoaja Kuka asettaa tämän evästeen Google Analytics (google.com)
Tarkoitus Mitä eväste tekee, selkokielellä Luo yksilöllisen tunnisteen tilastotietojen keräämiseksi siitä, miten käytät verkkosivustoa
Tyyppi Ensimmäisen vai kolmannen osapuolen; HTTP-eväste, localStorage jne. Kolmannen osapuolen HTTP-eväste
Kesto Kuinka kauan eväste säilyy 2 vuotta

Tässä on esimerkki hyvin jäsennellystä evästetaulukosta analytiikkaluokalle:

Evästeen nimi Tarjoaja Tarkoitus Tyyppi Kesto
_ga Google Analytics Määrittää yksilöllisen tunnisteen kävijöiden erottamiseksi ja tilastoraporttien kokoamiseksi Kolmannen osapuolen 2 vuotta
_gid Google Analytics Määrittää yksilöllisen tunnisteen kullekin selausistunnolle tilastoraporttien kokoamiseksi Kolmannen osapuolen 24 tuntia
_gat_UA-* Google Analytics Rajoittaa tiedonkeruun nopeutta vilkasliikenteisillä sivustoilla Kolmannen osapuolen 1 minuutti

Toista tämä taulukko jokaiselle luokalle: Ehdottoman välttämättömät, Asetukset, Analytiikka ja Markkinointi.

Vaihe 6: Kuvaile kukin luokka

Anna ennen kutakin evästetaulukkoa lyhyt kuvaus luokasta:

  • Mitä tämän luokan evästeet tekevät – yleisellä tasolla.
  • Edellytetäänkö suostumusta – ehdottoman välttämättömät evästeet eivät edellytä suostumusta; kaikki muut edellyttävät.
  • Mitä tapahtuu, jos käyttäjä kieltäytyy – "Jos hylkäät analytiikkaevästeet, emme kerää tietoja käynneistäsi. Verkkosivusto toimii normaalisti."

Tämä kontekstitieto auttaa käyttäjiä tekemään tietoisia päätöksiä ja täyttää GDPR:n läpinäkyvyysvaatimukset.

Vaihe 7: Selitä, miten käyttäjät voivat hallita evästeitä

Tämän osion on katettava kaksi hallintamekanismia:

Suostumusbannerin kautta

Selitä, että käyttäjät voivat hallita evästeasetuksiaan milloin tahansa napsauttamalla evästeasetuslinkkiäsi tai -kuvakettasi. Kuvaile, mistä se löytyy (esim. "Napsauta evästekuvaketta minkä tahansa sivun vasemmassa alakulmassa" tai "Napsauta 'Evästeasetukset' alatunnisteessa"). Ole tarkka – älä sano vain "evästebannerimme kautta".

Selaimen asetusten kautta

Tarjoa linkit evästeiden hallintaohjeisiin suurimmille selaimille:

Huomauta seurauksesta: "Huomaathan, että evästeiden poistaminen käytöstä selaimen asetusten kautta voi vaikuttaa tämän ja muiden vierailemiesi verkkosivustojen toimintaan."

Vaihe 8: Lisää yhteystiedot ja tietosuojavastaavan tiedot

Anna selkeät yhteystiedot tietosuojaan liittyviä tiedusteluja varten:

  • Rekisterinpitäjän henkilöllisyys: Yrityksen nimi, rekisteröity osoite, rekisterinumero.
  • Tietosuojaan liittyvä yhteyssähköposti: Valvottu sähköpostiosoite (esim. [email protected]).
  • Tietosuojavastaava: Jos olet nimittänyt tietosuojavastaavan (pakollinen tietyille organisaatioille GDPR:n 37 artiklan nojalla), anna hänen nimensä ja yhteystietonsa.
  • Valvontaviranomainen: Yksilöi asianomainen tietosuojaviranomainen ja anna linkki heidän valitusmekanismiinsa. Esimerkiksi: "Sinulla on oikeus tehdä valitus [tietosuojaviranomaisen nimi] -viranomaiselle osoitteessa [URL]."

Vaihe 9: Päivää käytäntö ja suunnittele päivitykset

Sisällytä selkeä "Viimeksi päivitetty" -päivämäärä. Sitoudu tarkastamaan ja päivittämään käytäntö säännöllisin väliajoin ja aina, kun evästeiden käyttösi muuttuu.

Harkitse maininnan lisäämistä, kuten: "Tarkastamme tämän evästekäytännön säännöllisesti ja päivitämme sitä tarvittaessa. Kaikista merkittävistä muutoksista tiedotetaan ilmoituksella verkkosivustollamme."

Käytännössä varaudu vähintään neljännesvuosittaiseen tarkastukseen. Kolmannen osapuolen palvelut muuttavat evästeitään usein, ja pienikin integraatiopäivitys voi tuoda mukanaan uusia evästeitä, jotka on ilmoitettava.

Yleisiä virheitä, joita kannattaa välttää

Jopa huolellisesti kirjoitetut evästekäytännöt sisältävät usein näitä virheitä:

  • Epämääräiset tarkoituskuvaukset. "Tämä eväste parantaa kokemustasi" ei kerro käyttäjälle mitään. Ole tarkka: mitä tietoja eväste kerää ja mihin niitä käytetään?
  • Vanhentuneet evästeluettelot. Jos käytäntösi luettelee evästeitä työkalusta, jonka poistit puoli vuotta sitten, tai jättää luettelematta viime viikolla lisäämäsi työkalun evästeet, se on epätarkka. Epätarkka ilmoittaminen heikentää läpinäkyvyyttä.
  • Puuttuvat kolmannen osapuolen evästeet. Monet organisaatiot luettelevat omat evästeensä mutta unohtavat dokumentoida upotetun sisällön (YouTube-videot, sosiaalisen median painikkeet, chat-widgetit jne.) asettamat kolmannen osapuolen evästeet. Nämä ovat usein sivuston yksityisyyden kannalta tunkeilevimpia evästeitä.
  • Luokitteluvirheet. Markkinointi- tai analytiikkaevästeiden luokittelu "toiminnallisiksi" tai "välttämättömiksi" suostumusvaatimuksen välttämiseksi. Tietosuojaviranomaiset etsivät tätä nimenomaan.
  • Ei mekanismia asetusten muuttamiseen. Todetaan, että käyttäjät voivat hallita asetuksiaan, mutta ei tarjota selkeästi kuvattua, aina saatavilla olevaa mekanismia sen tekemiseen.
  • Mallipohjan kopioiminen ilman mukauttamista. Yleiset evästekäytäntömallit, jotka eivät heijasta todellisia evästeitäsi, todellisia palvelujasi tai todellista tietojenkäsittelyäsi. Mallipohja on lähtökohta, ei valmis asiakirja.
  • Vaikeaselkoinen kieli. Juridinen ammattikieli, tekninen terminologia ja tarpeettoman monimutkaiset lauserakenteet. GDPR edellyttää selkeää ja yksinkertaista kieltä. Kirjoita ei-asiantuntijayleisölle.

Käytännön pitäminen linjassa todellisten evästeiden kanssa

Evästekäytännön ylläpidon vaikein osa ei ole sen kirjoittaminen – vaan sen pitäminen tarkkana. Verkkosivustot ovat dynaamisia. Markkinointitiimit lisäävät uusia työkaluja, kehittäjät integroivat uusia palveluja, sisällönhallintajärjestelmät asentavat lisäosia, joilla on seurantaominaisuuksia. Jokainen muutos voi tuoda mukanaan evästeitä, joita käytäntösi ei mainitse.

Ratkaisu on automaattinen, jatkuva seuranta. Sen sijaan, että luottaisit manuaalisiin kartoituksiin (jotka ovat harvoja, puutteellisia ja virhealttiita), käytä skannaustyökalua, joka säännöllisesti käy läpi verkkosivustosi, tunnistaa kaikki aktiiviset evästeet ja vertaa niitä ilmoitettuun evästeluetteloosi.

Passiro skannaa verkkosivustosi automaattisesti, havaitsee ilmoittamattomat evästeet ja ilmoittaa sinulle, kun käytäntösi kaipaa päivitystä. Näin evästekäytäntösi heijastaa aina todellisuutta – ei tilannekuvaa siitä, kun joku viimeksi muisti tarkistaa asian. Tutustu Passiron automaattiseen evästevaatimustenmukaisuuteen.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi