Hvernig á að skrifa vafrakökustefnu: Skref-fyrir-skref leiðarvísir
Vafrakökustefna er aðeins jafn góð og nákvæmni hennar og skýrleiki. Þessi leiðarvísir leiðir þig í gegnum ferlið við að búa til vafrakökustefnu sem uppfyllir lagalegar kröfur, þjónar notendum þínum og helst nákvæm með tímanum. Fylgdu þessum níu skrefum til að útbúa stefnu sem er heildstæð, gagnsæ og viðhaldshæf.
Skref 1: Framkvæmdu úttekt á vafrakökum þínum
Áður en þú getur skrifað um vafrakökurnar þínar þarftu að vita nákvæmlega hvaða vafrakökur vefurinn þinn setur. Þetta er grunnurinn að allri stefnunni — og skrefið sem flest fyrirtæki gera vitlaust.
Ítarleg vafrakökuúttekt felur í sér:
- Skönnun á hverri síðu. Vafrakökur geta verið mismunandi milli síðna. Forsíðan þín kann að setja aðrar vafrakökur en greiðslusíðan, bloggið eða reikningssíðurnar. Heildstæð úttekt verður að ná yfir allar tegundir síðna.
- Skráning fyrsta aðila og þriðja aðila vafrakaka. Fyrsta aðila vafrakökur eru settar af þínu eigin léni. Þriðja aðila vafrakökur eru settar af utanaðkomandi þjónustum — greiningarkerfum, auglýsinganetum, samfélagsmiðlaviðbótum, innfelldum myndböndum, spjallviðbótum, greiðslumiðlurum og fleiru.
- Auðkenning geymslu sem ekki er vafrakaka. Nútíma vefsíður nota einnig localStorage, sessionStorage, IndexedDB og pixel-merki. Heildstæð stefna nær yfir öll geymslufyrirbæri viðskiptavinar, ekki bara HTTP-vafrakökur.
- Prófun með og án samþykkis. Sumar vafrakökur eru settar óháð samþykki (bráðnauðsynlegar vafrakökur). Aðrar ættu aðeins að birtast eftir að samþykki hefur verið veitt. Úttektin þín ætti að staðfesta að ónauðsynlegar vafrakökur séu raunverulega blokkaðar þar til samþykki er gefið.
Handvirkar úttektir eru óáreiðanlegar. Að opna handvirkt þróunartól vafra á nokkrum síðum missir af vafrakökum sem settar eru af þriðja aðila forskriftum sem hlaðast ósamstillt, vafrakökum sem settar eru aðeins við tilteknar notendaaðgerðir og vafrakökum sem birtast aðeins í síðari heimsóknum. Notaðu sjálfvirk skönnunartól til að fá heildarmynd.
Sjálfvirki vafrakökuskanni Passiro skríður í gegnum allan vefinn þinn, auðkennir hverja vafraköku og geymslufyrirbæri, og skilar flokkaðri skýrslu — kjörinn upphafspunktur fyrir stefnuna þína.
Skref 2: Flokkaðu hverja vafraköku
Þegar þú hefur heildstæðan lista yfir vafrakökur skaltu raða þeim í staðlaða flokka. Sú flokkun sem er mest viðurkennd, notuð af IAB Transparency and Consent Framework og mælt með af flestum persónuverndaryfirvöldum, er:
Bráðnauðsynlegar
Vafrakökur sem vefurinn getur ekki starfað án. Dæmi: setuvafrakökur fyrir innskráningarstöðu, innkaupakörfuvafrakökur, CSRF-verndartákn, álagsjöfnunarvafrakökur, vafrakökur um samþykkisstillingar. Þessar eru undanþegnar samþykkiskröfunni samkvæmt 3. mgr. 5. gr. ePrivacy Directive, en þú verður samt að upplýsa um þær í stefnunni þinni.
Kjörstillingar / Virkni
Vafrakökur sem gera aukna virkni og persónusniðun mögulega. Dæmi: tungumálaval, svæðis-/gjaldmiðilsval, leturstærðarstillingar, nýlega skoðaðir hlutir. Þessar eru ekki bráðnauðsynlegar — vefurinn myndi starfa án þeirra — en þær bæta notendaupplifunina. Þær krefjast samþykkis.
Greining / Tölfræði
Vafrakökur sem notaðar eru til að safna gögnum um hvernig gestir eiga í samskiptum við vefinn. Dæmi: Google Analytics vafrakökur (_ga, _gid), Hotjar setuvafrakökur, Plausible Analytics. Þessar krefjast samþykkis í flestum lögsögum ESB, þótt sum persónuverndaryfirvöld (einkum franska CNIL) hafi búið til takmarkaðar undanþágur fyrir áhorfsmælingartól sem uppfylla ströng skilyrði.
Markaðssetning / Auglýsingar
Vafrakökur sem notaðar eru fyrir miðaðar auglýsingar, endurmiðun og mælingu á frammistöðu auglýsinga. Dæmi: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, vafrakökur auglýsinganeta. Þessar krefjast alltaf samþykkis og eru sá flokkur sem er undir mestri skoðun.
Úthlutaðu hverri vafraköku flokk og staðfestu að flokkunin sé nákvæm. Algeng villa er að flokka greiningar- eða markaðssetningarvafrakökur sem „virkni" til að komast hjá samþykkiskröfunni — það er brot á reglum og auðvelt fyrir eftirlitsaðila að uppgötva.
Skref 3: Skrifaðu inngang
Vafrakökustefnan þín ætti að hefjast á stuttum inngangi sem nær yfir:
- Hver þú ert. Lögaðilinn sem rekur vefinn (heiti fyrirtækis, skráð heimilisfang).
- Hvað þetta skjal nær yfir. „Þessi vafrakökustefna útskýrir hvernig [Heiti fyrirtækis] notar vafrakökur og svipaða tækni á [vefslóð]."
- Hvenær hún var síðast uppfærð. Hafðu áberandi dagsetningu.
- Hvernig hafa má samband við þig. Gefðu upp tengiliðatölvupóst og, ef við á, upplýsingar um persónuverndarfulltrúa þinn.
Haltu innganginum við tvær til þrjár setningar. Notendur eru hér til að fá tilteknar upplýsingar, ekki fyrirtækjaformála.
Skref 4: Útskýrðu hvað vafrakökur eru
Hafðu stutta, ótæknilega útskýringu á því hvað vafrakökur eru. Margir gesta þinna vita það ekki. Góð útskýring er:
Vafrakökur eru litlar textaskrár sem eru geymdar á tækinu þínu (tölvu, spjaldtölvu eða síma) þegar þú heimsækir vefsíðu. Þær eru mikið notaðar til að láta vefsíður virka, til að bæta skilvirkni og til að veita eigendum vefsíðna upplýsingar. Vafrakökur sem settar eru af vefsíðunni sem þú heimsækir kallast „fyrsta aðila vafrakökur". Vafrakökur sem settar eru af öðrum fyrirtækjum (til dæmis greiningar- eða auglýsingaþjónustum) kallast „þriðja aðila vafrakökur".
Ef vefurinn þinn notar tækni umfram HTTP-vafrakökur — svo sem localStorage, pixel-merki eða fingrafaragreiningu — nefndu það líka. „Í þessari stefnu notum við hugtakið „vafrakökur" til að vísa til vafrakaka og svipaðrar tækni nema annað sé tekið fram."
Skref 5: Listaðu vafrakökur á töfluformi
Settu vafrakökurnar þínar fram í skipulagðri töflu, flokkaðar eftir flokkum. Fyrir hverja vafraköku skaltu hafa:
| Reitur | Lýsing | Dæmi |
|---|---|---|
| Heiti | Tæknilegt heiti vafrakökunnar | _ga |
| Veitandi | Hver setur þessa vafraköku | Google Analytics (google.com) |
| Tilgangur | Hvað vafrakakan gerir, á einföldu máli | Býr til einkvæmt auðkenni til að skrá tölfræðigögn um hvernig þú notar vefinn |
| Tegund | Fyrsta aðila eða þriðja aðila; HTTP-vafrakaka, localStorage o.s.frv. | Þriðja aðila HTTP-vafrakaka |
| Gildistími | Hversu lengi vafrakakan varir | 2 ár |
Hér er dæmi um vel uppbyggða vafrakökutöflu fyrir greiningarflokkinn:
| Heiti vafraköku | Veitandi | Tilgangur | Tegund | Gildistími |
|---|---|---|---|---|
_ga |
Google Analytics | Úthlutar einkvæmu auðkenni til að greina gesti í sundur og setja saman tölfræðiskýrslur | Þriðja aðila | 2 ár |
_gid |
Google Analytics | Úthlutar einkvæmu auðkenni fyrir hverja vafralotu til að setja saman tölfræðiskýrslur | Þriðja aðila | 24 klukkustundir |
_gat_UA-* |
Google Analytics | Takmarkar hraða gagnasöfnunar á vefsíðum með mikla umferð | Þriðja aðila | 1 mínúta |
Endurtaktu þessa töflu fyrir hvern flokk: Bráðnauðsynlegar, Kjörstillingar, Greining og Markaðssetning.
Skref 6: Lýstu hverjum flokki
Á undan hverri vafrakökutöflu skaltu gefa stutta lýsingu á flokknum:
- Hvað vafrakökur í þessum flokki gera — í almennum orðum.
- Hvort samþykkis sé krafist — bráðnauðsynlegar vafrakökur krefjast ekki samþykkis; allar aðrar gera það.
- Hvað gerist ef notandinn hafnar — „Ef þú hafnar greiningarvafrakökum munum við ekki safna gögnum um heimsóknir þínar. Vefurinn mun starfa eðlilega."
Þessar samhengisupplýsingar hjálpa notendum að taka upplýstar ákvarðanir og uppfylla gagnsæiskröfur GDPR.
Skref 7: Útskýrðu hvernig notendur geta stjórnað vafrakökum
Þessi hluti verður að ná yfir tvö stjórnunarfyrirbæri:
Í gegnum samþykkisborðann þinn
Útskýrðu að notendur geti stjórnað vafrakökustillingum sínum hvenær sem er með því að smella á vafrakökustillingatengil eða -tákn þitt. Lýstu hvar það er að finna (t.d. „Smelltu á vafrakökutáknið í neðra vinstra horni á hvaða síðu sem er" eða „Smelltu á „Vafrakökustillingar" í fæti síðunnar"). Vertu nákvæm — ekki bara segja „í gegnum vafrakökuborðann okkar".
Í gegnum vafrastillingar
Gefðu upp tengla á leiðbeiningar um vafrakökustjórnun fyrir helstu vafra:
Taktu fram afleiðinguna: „Vinsamlegast athugaðu að slökkva á vafrakökum í gegnum vafrastillingar getur haft áhrif á virkni þessa vefs og annarra vefsíðna sem þú heimsækir."
Skref 8: Bættu við tengiliðaupplýsingum og upplýsingum um persónuverndarfulltrúa
Gefðu upp skýrar tengiliðaupplýsingar fyrir fyrirspurnir tengdar persónuvernd:
- Auðkenni ábyrgðaraðila: Heiti fyrirtækis, skráð heimilisfang, skráningarnúmer.
- Tengiliðatölvupóstur fyrir persónuvernd: Vaktað tölvupóstfang (t.d. [email protected]).
- Persónuverndarfulltrúi: Ef þú hefur skipað persónuverndarfulltrúa (skylda fyrir tilteknar stofnanir samkvæmt 37. gr. GDPR), gefðu upp nafn hans og tengiliðaupplýsingar.
- Eftirlitsyfirvald: Tilgreindu viðeigandi persónuverndaryfirvald og gefðu upp tengil á kvörtunarferli þeirra. Til dæmis: „Þú hefur rétt á að leggja fram kvörtun hjá [Heiti persónuverndaryfirvalds] á [vefslóð]."
Skref 9: Dagsettu stefnuna og skipuleggðu uppfærslur
Hafðu skýra „Síðast uppfært" dagsetningu. Skuldbindu þig til að endurskoða og uppfæra stefnuna með reglulegu millibili og alltaf þegar vafrakökunotkun þín breytist.
Íhugaðu að bæta við yfirlýsingu eins og: „Við endurskoðum þessa vafrakökustefnu reglulega og munum uppfæra hana þegar nauðsyn krefur. Allar verulegar breytingar verða tilkynntar með tilkynningu á vefsíðu okkar."
Í reynd skaltu áætla að minnsta kosti ársfjórðungslega endurskoðun. Þriðja aðila þjónustur breyta vafrakökum sínum oft, og jafnvel minniháttar uppfærsla á samþættingu getur kynnt nýjar vafrakökur sem verður að tilgreina.
Algeng mistök sem ber að forðast
Jafnvel vandlega skrifaðar vafrakökustefnur innihalda oft þessar villur:
- Óljósar tilgangslýsingar. „Þessi vafrakaka bætir upplifun þína" segir notandanum ekkert. Vertu nákvæm: hvaða gögnum safnar vafrakakan, og til hvers er hún notuð?
- Úreltir vafrakökulistar. Ef stefnan þín listar vafrakökur frá tóli sem þú fjarlægðir fyrir sex mánuðum, eða listar ekki vafrakökur frá tóli sem þú bættir við í síðustu viku, er hún ónákvæm. Ónákvæm upplýsingagjöf grefur undan gagnsæi.
- Vantandi þriðja aðila vafrakökur. Mörg fyrirtæki lista sínar eigin vafrakökur en gleyma að skjalfesta þriðja aðila vafrakökur sem settar eru af innfelldu efni (YouTube-myndböndum, samfélagsmiðlahnöppum, spjallviðbótum o.s.frv.). Þetta eru oft þær vafrakökur sem eru mest ágengar á friðhelgi á vefnum.
- Flokkunarvillur. Að flokka markaðssetningar- eða greiningarvafrakökur sem „virkni" eða „nauðsynlegar" til að komast hjá samþykkiskröfunni. Persónuverndaryfirvöld leita sérstaklega að þessu.
- Ekkert fyrirbæri til að breyta stillingum. Að segja að notendur geti stjórnað stillingum sínum en ekki bjóða upp á skýrt lýst, alltaf tiltækt fyrirbæri til þess.
- Að afrita sniðmát án aðlögunar. Almenn vafrakökustefnusniðmát sem endurspegla ekki raunverulegar vafrakökur þínar, raunverulegar þjónustur þínar eða raunverulega gagnavinnslu þína. Sniðmát er upphafspunktur, ekki fullbúið skjal.
- Óaðgengilegt orðalag. Lagalegt hrognamál, tæknileg hugtök og óþarflega flókin setningaskipan. GDPR krefst skýrs og einfalds orðalags. Skrifaðu fyrir áhorfendur sem eru ekki sérfræðingar.
Að halda stefnunni þinni í samræmi við raunverulegar vafrakökur
Erfiðasti hlutinn við að viðhalda vafrakökustefnu er ekki að skrifa hana — heldur að halda henni nákvæmri. Vefsíður eru breytilegar. Markaðsteymi bæta við nýjum tólum, forritarar samþætta nýjar þjónustur, efnisstjórnunarkerfi setja upp viðbætur með rakningarmöguleikum. Hver breyting getur kynnt vafrakökur sem stefnan þín nefnir ekki.
Lausnin er sjálfvirk, samfelld vöktun. Í stað þess að treysta á handvirkar úttektir (sem eru sjaldgæfar, ófullkomnar og villuhættar) skaltu nota skönnunartól sem skríður reglulega í gegnum vefinn þinn, auðkennir allar virkar vafrakökur og ber þær saman við uppgefna vafrakökulista þinn.
Passiro skannar vefinn þinn sjálfvirkt, uppgötvar ótilgreindar vafrakökur og lætur þig vita þegar stefnan þín þarf uppfærslu. Þetta tryggir að vafrakökustefnan þín endurspegli alltaf raunveruleikann — ekki mynd frá því síðast þegar einhver mundi eftir að athuga. Kynntu þér sjálfvirka vafrakökuregluvörslu Passiro.
Uppfyllir vefsíðan þín vefkökureglurnar?
Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.
Skannaðu vefkökurnar þínar ókeypis