Kaikki ovat varmasti huomanneet, että viime aikoina EU-alueella verkkosivustoille on ilmestynyt erilaisia laatikoita, joilla pyydetään kävijän suostumusta evästeisiin. Evästesuostumusten hyväksyminen johtuu GDPR-asetuksesta. Suomessa oli jonkin aikaa epäselvyyttä, miten asetusta pitää Suomessa toteuttaa. Nyt on käsittääkseni melko suuri yksimielisyys siitä, että evästeiden tallentamiselle vaaditaan kävijän eksplisiittinen suostumus, myös Suomessa. Tähän väliin pitää vielä mainita, että minun tai tämän kirjoituksen ei ole tarkoitus antaa lainopillista neuvontaa – suosittelen kääntymään juristin puoleen, jos herää kysymyksiä lakinäkökulmasta. Mikko Virenius kirjoitti erinomaisen artikkelin Evästeiden hallinta kuntoon Cookiebotilla. Suosittelen lukemaan myös sen. Tässä kirjoituksessa avaan hieman haasteita (ja valintoja), joita kohtasimme, kun lisäsimme Cookiebotin www.valu.fi-sivustolle.
Miten lisäsimme Cookiebotin sivuston koodiin?
Cookiebot voidaan lisätä sivustolle parilla eri tavalla. Valu.fi-sivustollamme oli jo käytössä Googlen Tag Manager ja se tuntui luontevalta paikalta lisätä myös Cookiebot tässä tapauksessa. Kun skriptien lisääminen tapahtuu samasta paikasta, hankalahko kokonaisuus saadaan edes jollakin tavalla hallintaan. Valu.fi:ssä oli joitakin yksittäisiä skriptejä ladattu WordPress-teeman koodissa suoraan ja nämä siirrettiin Google Tag Managerin alle tässä yhteydessä. Googlen Tag Manager ei oman käsitykseni mukaan tarvitse hyväksyntää, koska se ei lisää kävijän koneelle evästeitä itsessään. GTM:n kautta voidaan kuitenkin lisätä skriptejä tai seurantapikseleitä, jotka tarvitsevatkin sitten suostumuksen. Cookiebot asentuu Tag Manageriin mukavasti, kun käytetään triggeriä "Consent Initialization - All Pages". Tällöin Cookiebot integroituu GTM:n toimintalogiikkaan. Yksittäisille skripteille voidaan Google Tag Managerissa määritellä suostumustaso, joka vaaditaan, jotta kyseinen skripti ladataan. Mahdollisia tasoja ovat esimerkiksi mainokset, analytiikka ja personointi.
Miten Cookiebot näkyy sivustolla?
Seuraavaksi kysymykseen tulee varsinainen evästehyväksyntädialogi sivustolle. Miltä se näyttää tai miltä sen haluttaisiin näyttävän? Cookiebot tarjoaa valmiina erilaisia ulkoasumalleja, mutta päädyimme tässä tapauksessa ottamaan mallia Generaxionin Teemu Suorannan pohjasta. Pieniä muutoksia piti tehdä, mutta pohja oli hyvä lähtökohta. Tässä vaihtoehdossa on hyvää se, että kävijä voi helposti hyväksyä tai hylätä välttämättömien evästeiden ulkopuoliset evästeet. Varsinaisen evästedialogin lisäksi Cookiebot tarjoaa automaattisesti listauksen löytämistään evästeistä, jotka voidaan listata sivustolla ja täyttää näin lain vaatimus antaa tietoa kävijöille käytetyistä evästeistä. Esimerkiksi www.valu.fi:ssä tämä löytyy sivulta https://www.valu.fi/tietosuoja-ja-yksityisyys/.
Entä kolmannen osapuolen elementit?
Kuten Mikko kirjoittikin haastavuutta tässä kokonaisuudessa lisäävät kolmannen osapuolen skriptit tai iframet, jotka saattavat lisätä omia evästeitä ja seurantaskriptejään. Yleisin näistä lienee YouTube, jonka videoita ei tulisi meidän käsityksen mukaan näyttää, jos kävijä ei ole antanut evästesuostumusta. Hyvä vaihtoehto YouTubelle on käyttää Vimeo (PRO:ta) ja laittaa Do Not Track päälle. Tällöin ei Vimeon analytiikat toimi, mutta ei myöskään tallenneta evästeitä ja videot näkyvät sivustolla ilman hyväksyntää. Olemme tehneet WordPressiin lyhytkoodin, jolla pystyy lisäämään iframeja sivustolle helposti ja joka toimii Cookiebotin kanssa hyvin.
Mitkä vaikutukset hakukoneoptimointiin?
SEO:on vaikutusta sivustolla emme pysty vielä täysin arvioimaan tätä kirjoitusta tehdessä. Tutkimustemme mukaan latausnopeus ei kärsinyt huomattavasti tässä vaiheessa. Jos evästehyväksyntädialogi on kooltaan suuri, se saattaa vaikuttaa LCP:hen ja se tulisikin ladata mahdollisimman aikaisessa vaiheessa.
Miten Google Analytics toimii evästeiden kanssa tai ilman niitä?
Google Analyticsin ja Google Ads -skriptien latauksessa hyödynnämme beta-vaiheessa olevaa Googlen Consent Modea, jonka avulla voidaan tarvittaessa ladata kyseiset skriptit ilman, että kävijän koneelle tallennetaan evästeitä. Lisäksi GA:n Universal Analytics -koodissa olemme määritelleet, että IP-osoitteet on anonymisoitu. Analyticsin versio 4:ssa tämä on oletuksena päällä. Consent Moden hyödyntäminen olisi ollut paljon vaikeampaa ilman Google Tag Manageria ja tämä puolsi valintaamme. Tällä hetkellä Google Analyticsiin ei kerry kävijöistä tietoa, jos evästehyväksyntää ei ole annettu. On kuitenkin mahdollista, että ainakin GA4:een saadaan näistäkin kävijöistä jotain tietoa tulevaisuudessa. Google Ads pystyy jo nyt tiettyjen ehtojen täyttyessä koneoppimisen avulla täyttämään puuttuvaa dataa kävijöistä, jotka eivät ole suostumustaan antaneet.
Mitä valintoja teimme?
Jouduimme tekemään valintoja Cookiebotin asennuksen yhteydessä ja korostan, että pyrimme tekemään asiat parhaan ymmärryksemme mukaisesti. Jos joku valinta on mielestäsi epäoptimaalinen, laita meille siitä viestiä. Valitsimme, että salli vain välttämättömät ja salli kaikki -painikkeet ovat ihan samannäköisiä. Mietin kyllä, olisiko "salli kaikki" pitänyt toteuttaa brändivärillä ja tehdä huokuttelevammaksi. Cookiebot mahdollistaa myös erilaisia implisiittisiä hyväksyntätapoja, mutta valitsimme, että vain eksplisiittinen hyväksyntä kelpaa meille. Käsittääkseni on myös mahdollista, että tietosuojavaltuutetulle kelpaa vain nimenomainen hyväksyntä, mutta tämä menee taas alueelle, jossa en ole asiantuntija.
Mikä on lopputulos?
On kuitenkin selvää, että kun lisätään Cookiebot, menetetään tietoa osasta kävijöitä. Luvut ovat tietysti sivustokohtaisia, mutta normaalisti puhutaan 30%–50% kävijöistä, jotka eivät hyväksy evästeitä. Markkinointiosasto ei tästä ole kovin mielissään, mutta toisaalta vastuullisuudella voidaan saavuttaa kävijöiden luottamus. Mihin tämä kaikki asettuu, nähdään vasta tulevaisuudessa. Joka tapauksessa evästesuostumusten hankkimisen aika on nyt. Oma asiakkuuspäällikkösi antaa mielellään lisätietoja aiheesta.