Skip to main content

Mitä evästeet ovat?

Evästeet ovat pieniä tekstitiedostoja, jotka verkkosivustot tallentavat selaimeesi. Kun vierailet verkkosivustolla, palvelin voi lähettää evästeen sivun sisällön mukana. Selaimesi tallentaa tämän evästeen ja lähettää sen takaisin palvelimelle jokaisen seuraavan pyynnön yhteydessä. Tämä yksinkertainen mekanismi — tallenna arvo, lähetä se takaisin — on lähes jokaisen personoidun verkkokokemuksen perusta.

Sen ymmärtäminen, mitä evästeet ovat, miten ne toimivat ja mihin niitä käytetään, on olennainen ensimmäinen askel kohti evästeiden vaatimustenmukaisuutta. Et voi säännellä sellaista, mitä et ymmärrä.

Miten evästeet toimivat teknisesti

Pohjimmiltaan evästeet ovat avain-arvo-pareja. Evästeellä on nimi, arvo ja joukko attribuutteja, jotka ohjaavat sen käyttäytymistä. Kun verkkopalvelin haluaa asettaa evästeen, se sisällyttää Set-Cookie-otsakkeen HTTP-vastaukseensa:

Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly

Tämä kertoo selaimelle: "Tallenna eväste nimeltä session_id, jonka arvo on abc123. Lähetä se jokaisen pyynnön mukana mihin tahansa polkuun tässä verkkotunnuksessa. Säilytä se maaliskuuhun 2027 asti. Lähetä se vain HTTPS:n kautta. Äläkä anna JavaScriptin päästä siihen käsiksi."

Jokaisen seuraavan kyseiseen verkkotunnukseen kohdistuvan pyynnön yhteydessä selain sisällyttää evästeen automaattisesti Cookie-otsakkeeseen:

Cookie: session_id=abc123

Palvelin lukee tämän arvon ja tietää, keneltä pyyntö tulee. Siinä on koko mekanismi. Evästeet eivät ole ohjelmia. Ne eivät voi suorittaa koodia, käyttää tiedostojärjestelmääsi tai asentaa mitään. Ne ovat passiivista dataa — tekstijonoja, jotka kulkevat edestakaisin selaimen ja palvelimen välillä.

Mihin evästeitä käytetään

Evästeet palvelevat neljää laajaa tarkoitusta nykyaikaisessa verkossa:

Todennus ja istunnonhallinta

Kun kirjaudut verkkosivustolle, palvelin luo istunnon ja tallentaa yksilöllisen istuntotunnisteen evästeeseen. Ilman tätä evästettä palvelimella ei olisi mitään keinoa tietää, että seuraava sivupyyntösi tulee samalta kirjautuneelta käyttäjältä. Jokainen sivun latautuminen tuntuisi ensivierailulta. Ostoskorit, käyttäjätilit, hallintanäkymät — mikään niistä ei toimi ilman istuntoevästeitä.

Käyttäjän asetukset

Evästeet muistavat valintasi. Kieliasetukset, teema-asetukset (tumma vs. vaalea tila), valuutan valinta, evästesuostumusvalinnat itsessään — nämä kaikki tallennetaan tyypillisesti evästeisiin. Kun palaat sivustolle ja se tietää jo, että suosit saksaa, tämä tieto sijaitsee evästeessä.

Analytiikka ja suorituskyky

Palvelut kuten Google Analytics, Matomo ja Plausible käyttävät evästeitä erottaakseen ainutkertaiset kävijät palaavista kävijöistä, seuratakseen mitä sivuja yhden istunnon aikana katsotaan ja mitatakseen, miten kävijät liikkuvat sivustolla. Analytiikkaeväste ei yleensä sisällä suoraan henkilötietoja — se sisältää anonyymin tunnisteen kuten _ga=GA1.2.123456789.1710000000.

Mainonta ja seuranta

Tässä evästeistä tulee yksityisyyden suojan kannalta huolestuttavia. Mainosverkostot käyttävät evästeitä seuratakseen käyttäjiä useilla eri verkkosivustoilla, rakentaen selailukäyttäytymisestä profiileja, jotka mahdollistavat kohdennetun mainonnan. Kun vierailet uutissivustolla ja näet myöhemmin mainoksia tuotteesta, jota katsoit eri sivustolla, sivustojen väliset seurantaevästeet tekivät sen mahdolliseksi. Nämä kolmannen osapuolen evästeet ovat nykyaikaisen tietosuojasääntelyn ensisijainen kohde.

Lyhyt evästeiden historia

Evästeet keksi vuonna 1994 Lou Montulli, Netscape Communicationsin ohjelmoija. Alkuperäinen tarkoitus oli vaatimaton: Netscape tarvitsi keinon toteuttaa ostoskori verkkokauppa-asiakkaalle ilman, että jokaisen käyttäjän ostoskorin sisältö tallennettaisiin palvelimelle. Montulli mukautti "magic cookie" -käsitteen Unix-tietojenkäsittelystä — pieniä ohjelmien välillä tilan ylläpitämiseksi siirrettäviä tunnisteita.

Ensimmäiset evästeet olivat käytännöllinen tekninen ratkaisu. Mutta niiden seurantapotentiaali tunnistettiin nopeasti. Vuonna 1996 Financial Times julkaisi ensimmäisen valtavirtaan yltäneen artikkelin, jossa nostettiin esiin evästeisiin liittyviä yksityisyyshuolia. Vuoteen 2002 mennessä EU oli säätänyt ePrivacy-direktiivin nimenomaan niitä koskien.

Seuraavien kahden vuosikymmenen aikana evästeet kehittyivät yksinkertaisesta istunnonhallintatyökalusta digitaalisen mainosalan selkärangaksi — ja tietosuojalainsäädännön ensisijaiseksi kohteeksi maailmanlaajuisesti.

Miksi evästeet ovat yksityisyyden kannalta ongelmallisia

Evästeisiin liittyvä yksityisyysongelma ei koske itse teknologiaa. Eväste, joka muistaa kieliasetuksesi, on vaaraton. Huoli syntyy kolmesta erityisestä käyttötavasta:

  1. Sivustojen välinen seuranta. Kolmannen osapuolen evästeet mahdollistavat mainosverkostojen seurata käyttäjiä ympäri verkkoa, rakentaen yksityiskohtaisia profiileja selailukäyttäytymisestä. Käyttäjä, joka vierailee lääketieteellisen tiedon sivustolla, poliittisen järjestön sivustolla ja deittisivustolla, on paljastanut arkaluonteista tietoa — ja kaikki se voidaan yhdistää evästeiden kautta.
  2. Läpinäkyvyyden puute. Useimmilla käyttäjillä ei ole mitään käsitystä siitä, kuinka monta evästettä asetetaan, kun he vierailevat tavallisella verkkosivustolla. Yksittäinen uutissivusto saattaa asettaa 50–100 evästettä kymmenistä eri verkkotunnuksista. Käyttäjä näkee yhden verkkosivuston; kulissien takana kymmenet yritykset tarkkailevat hänen vierailuaan.
  3. Pysyvyys. Evästeet voivat säilyä vuosia. Vuonna 2024 asetettu seurantaeväste voi yhä tunnistaa saman käyttäjän vuonna 2026. Tämä pitkäaikainen seurantakyky yhdistettynä sivustojen väliseen ulottuvuuteen luo valvontarakenteen, joka toimii ilman useimpien käyttäjien tietämystä tai merkityksellistä suostumusta.

Nämä huolet ovat syy siihen, että ePrivacy-direktiivi (5 artiklan 3 kohta) edellyttää tietoon perustuvaa suostumusta ennen ei-välttämättömien evästeiden asettamista, ja miksi GDPR (4 artiklan 11 kohta ja 7 artikla) asettaa tiukkoja ehtoja sille, miltä pätevä suostumus näyttää.

Evästeiden lisäksi: muut seurantateknologiat

Nykyaikainen tietosuojasääntely ei kata pelkästään evästeitä. ePrivacy-direktiivi viittaa "tietojen tallentamiseen tai jo tallennettujen tietojen käyttöön tilaajan tai käyttäjän päätelaitteessa". Tämä muotoilu kattaa tarkoituksellisesti minkä tahansa asiakaspuolen tallennusmekanismin, mukaan lukien:

  • localStorage ja sessionStorage — Web Storage -rajapinnat, joiden avulla verkkosivustot voivat tallentaa suurempia määriä dataa selaimeen. Toisin kuin evästeitä, tätä dataa ei lähetetä automaattisesti palvelimelle, mutta sitä voidaan silti käyttää seurantaan, ja se edellyttää suostumusta samojen sääntöjen mukaan.
  • IndexedDB — Tehokkaampi asiakaspuolen tietokanta. Samat suostumussäännöt pätevät.
  • Selaimen sormenjälki (fingerprinting) — Laiteominaisuuksien (näytön resoluutio, asennetut fontit, selainlaajennukset, aikavyöhyke) kerääminen yksilöllisen tunnisteen luomiseksi tallentamatta mitään laitteelle. Vaikka sormenjälki ei käytä evästeitä, se tunnistetaan yhä useammin seurantateknologiaksi, joka edellyttää suostumusta. Ranskan CNIL ja useat muut tietosuojaviranomaiset ovat antaneet tämän vahvistavaa ohjeistusta.
  • Seurantapikselit — Pienenpieniä näkymättömiä kuvia, jotka ladataan kolmannen osapuolen palvelimelta. Pyyntö itsessään paljastaa käyttäjän IP-osoitteen, selaimen ja sivun, jolla he ovat. Seurantapikselit toimivat usein yhdessä evästeiden kanssa, mutta voivat toimia myös itsenäisesti.
  • ETag-tunnisteet ja välimuistiin perustuva seuranta — Tekniikoita, jotka hyödyntävät selaimen välimuistia tunnisteiden tallentamiseen ja hakemiseen. Nämä ovat harvinaisempia, mutta osoittavat, miksi sääntely keskittyy lopputulokseen (seurantaan) eikä tiettyyn teknologiaan.

Käytännön johtopäätös: jos verkkosivustosi tallentaa tai käyttää tietoja käyttäjän laitteella ei-välttämättömiin tarkoituksiin, tai jos se hyödyntää tekniikoita käyttäjien seuraamiseksi istuntojen välillä, suostumus on lähes varmasti tarpeen — riippumatta siitä, onko mekanismi teknisesti "eväste".

Passiron evästeskanneri havaitsee kaikki verkkosivustosi evästeet ja seurantateknologiat, mukaan lukien localStorage-käytön, kolmannen osapuolen skriptit ja seurantapikselit — antaen sinulle täydellisen kuvan siitä, mitä sivustosi kerää.

Keskeiset huomiot

  • Evästeet ovat pieniä tekstitiedostoja, jotka selain tallentaa ja lähettää takaisin palvelimelle jokaisen pyynnön yhteydessä.
  • Ne palvelevat oikeutettuja tarkoituksia (todennus, asetukset) ja yksityisyyden kannalta arkaluonteisia tarkoituksia (analytiikka, mainonta).
  • Kolmannen osapuolen seurantaevästeet ovat tietosuojasääntelyn ensisijainen huolenaihe.
  • Muut teknologiat (localStorage, sormenjälki, pikselit) kuuluvat samojen suostumusvaatimusten piiriin.
  • Sen ymmärtäminen, mitä evästeitä verkkosivustosi käyttää, on ensimmäinen askel kohti vaatimustenmukaisuutta.

Seuraavaksi tarkastellaan yksityiskohtaisesti evästeiden eri tyyppejä — sillä tyyppi määrittää suostumusvaatimukset.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi