Evästekyselyt netin käytön harmillisia hidasteita
Evästeiden (Cookies) kohdalla on nyt sellainen soppa, että se haittaa ja ihmetyttää kaikkia netin käyttäjiä. Koko ajan törmäämme evästeiden ohjeisiin, käyttöön ja niiden säätelyyn. Onko niistä todella tullut netin tärkein yksityisyyden turvatekijä? Miksi niistä on kasvanut kautta maailma tietoturvan lainsäädäntöä ravisteleva tekijä? Miten netin yksittäisen käyttäjän tulisi suhtautua evästeisiin?
Tämän me näemme joka päivä: Useilla nettisivulla meitä tervehtivät evästeiden käytön esittelyt. Hyväksy evästeet! Evästeistä on kasvanut ylimääräinen kuorma käyttäjille. Mistä tässä kaikessa on oikein kysymys. Miten olemme tulleet tällaiseen tilanteeseen, joka ei vaikuta lainkaan järkevältä?
Tämän taustana on v. 2018 voimaan tullut tietosuojalaki GDPR (Generqal Data Protection Regulation). Se tehtiin suojaamaan ihmisten henkilötietojen käyttö ja jakelu. Nykyinen evästesotku voi vaikuttaa siltä, että tuo GDPR olisi juuri se säädäntö, jonka päätehtävä olisi huolehtia evästesäätelystä. Tosiasiassa tuskin vuonna 2016-18 tuli EUn lainsäätäjien mieleenkään, että joskus tulevaisuudessa tietoturvalaista kasvaisi evästeiden nykyinen jättimäinen ongelmakenttä.
Tässä kuva paljon puhutusta GDPR asetuksesta, sen virallisen suomennoksen alusta. Edellä olevasta linkistä pääsee katsomaan sen koko monisivuisen tekstin.
GDPR on raamit, jota sitten on eri maissa ja organisaatioissa tulkittu eri tavoin mitä se merkitsee evästeiden käytölle. Euroopan tietosuojaneuvosto vaatii, että sivustoille on päästävä vaikka ei hyväksyisi mitään evästeitä. Tulossa olevan uuden EU-lainsäädännön toivotaan selkeyttävän sotkua.
Evästeiden kysely on aiheuttanut tilanteen, jossa Suomessakin eri viranomaiset ovat tulkinneet lakia eri tavoin. Meillä on esim. Traficom ajan mittaan muuttanut ohjeitaan. Mutta ennen tilanteen parempaa selkiintymistä ollaan nykyisessä vaiheessa ja siinä meidän tulisi pärjätä. Ei auta muu kuin tutustua tarkemmin siihen, mistä evästeissä on kysymys ja mitä meidän tulisi niille tehdä.
Mitä evästeet ovat
Evästeet ovat pieniä tekstitiedostoja, joista huolehtivat laitteiden selaimet. Niitä siirrellään verkossa. Evästeen luo kohdesivuston käyttämä palvelin, joka lähettää sen käyttäjän koneeseen. Siihen sen tallentaa koneen selain. Käyttäjä saa myös haluttaessaan poistettua koneeseen tallennetut evästeet.
Kun käyttäjä menee seuraavalla keralla samaan sivustoon, niin koneen selain lähettää evästeen takaisin sille palvelimelle eli sille sivustoille, josta on sen saanut. Siellä palvelin tunnistaa evästeestä, että käyttäjä on aikaisemmin vieraillut sivustolla ja muistaa esim. säädöt ja valinnat, joita aikaisemmin on tehnyt. Silloin ei niitä tarvitse tehdä enää uudelleen. Sivustoja voidaan myös kehittää näiden tietojen avulla.
Evästeitä on kahta perustyyppiä: istuntokohtaisia ja pysyviä. Jäljempänä myös kuvaus siitä, mitä tietoja evästeissä voi olla.
Käytön osapuolet
Evästeiden käytön ongelmat tulevat lähemmäksi kun katsotaan miten ne palvelevat eri osapuolia. Alun perin niiden tehtävä oli säilyttää ja uudelleen palauttaa käyttäjien nettisivuille tekemät vierailut ja säädöt. Osapuoleksi tulivat myös mainostajat ja niiden edustajat kuten Google. Evästeiden avulla tuli mahdolliseksi seurata sivustoja ja niiden käyttäjiä mainonnan kohdentamiseksi. Mukaan tuli hieno termi ”parantaa käyttökokemusta”.
Kolmannet osapuolet mukaan jakeluun
Perusteissa ei ollut juuri moitteen sijaa. Mutta kuten usein voi jokin asia laajeta ja muuttaa luonnettaan huomattavasti. Evästeet laajenivat pian kolmansille osapuolille asti toimitettaviksi. Keksittiin, että meillähän on paljon hyviä yhteistyökumppaneita, jotka tarvitsevat tai voivat jopa maksaa käyttäjätiedoista. Esim. Instagram myy edelleen n. 80% keräämästään datasta.
Aina kun rahaa on olemassa, alkaa esiintyä epätervettä kaupankäyntiä ja vakoilua. Nämä evästeiden siirrot ulkopuolisille kolmansien osapuolien palvelimille eivät näy käyttäjille eikä niistä aiheutuvaa riskiä voi valvoa. Käyttäjiä voidaan seurata myös niiden kautta. Turvariskit lisääntyivät merkittävästi.
Samanlainen tilanne on myös sivustojen ja Facebookin Tykkää painikkeilla. Tarkemmin täällä -> Miten Tykkää ja muut suosituspainikkeet toimivat.
Syntyi evästesoppa
Vähitellen alettiin vaatia, että sivustojen on ilmoitettava kävijöilleen evästeiden käytöstä. Ilmoittamisen tapoja on erilaisia. Lopputuloksena on nykyinen käyttäjiä kuormittava tilanne. Käyttäjille on tullut ylimääräinen harmi hyväksyä tai jopa säätää evästeiden sallimista. Vaikka netin turvasäännöissä sanotaan selvästi, että evästeiden kieltäminen ei saa estää pääsyä sivustoille, niin sitäkin voi tapahtua ja varsinkin pääsyä hidastetaan ja vaikeutetaan.
Mitä pitäisi tehdä – hyväksyäkö evästeet, millaiset?
Evästeet voidaan kokonaan kieltää, mutta se ei ole hyvä vaihtoehto. Silloin muuttuisi sivustojen käyttö hankalaksi tai jopa mahdottomaksi. Pitäisi olla automaatti, joka tunnistaisi hyödylliset ja vastaavasti riskialttiit evästeet. Joillakin selaimilla on yritystä siihen suuntaan.
Kolmansien osapuolien evästeet
Kaikkia mahdollisia evästeiden käyttökohteita ei pitäisi hyväksyä. Edellä jo kerrottiin evästeiden jakeluista kolmansille osapuolille, ”yhteistyökumppaneille” tai miten ne vain muotoillaankaan. Älä niitä hyväksy. Muuten annat täydet oikeudet myydä, käyttää ja yhdistellä tietojasi nettiprofiiliksesi. Siellä ovat lähellä mainostajien toimenpiteet ja mm. hakkerien tekemät identiteettivarkaudet. Muista myös että meillä ns. kuluttajilla on aina mahdollisuus äänestää jaloillamme. Eli voimme välttää riskialttiita sivuja ja erityisen haittaavia evästekyselyitä.
Käytettäessä yksityisiä tietoja
Evästetä on syytä välttää sivustoilla, jossa asioit luottamuksellisesti. Näitä ovat esim. pankki- ja talousasiat sekä terveystiedot. Henkilökohtaiset tiedot, kuten erityisesti sosiaaliturvatunnuksesi, tulee aina pitää yksityisinä ja jakaa vain silloin, kun se on välttämätöntä.
Salaamattomat verkkosivut
Näitäkin on vielä. Salatut eli turvalliset sivustot tunnistaa selaimessa osoitteen edessä näkyvästä lukkokuvakkeesta. Asiasta tarkemmin täällä -> Mistä tietää onko nettiosoite turvallinen.
Virustorjunnan varoittamat sivut
Koneesi virustorjunta voi varoittaa epäilyttävistä evästeistä ja sivuista, jolloin niitä ei pidä hyväksyä. Ja jos on sellaisia jo päässyt asentumaan, niin poistaa ne.
Tällaiselta sivustoilla näyttää
Traficomin oman sivuston evästeasetukset.
Traficom sanoo nykyisissä ohjeessaan, että käyttäjän pitää voida hylätä kaikki ei-välttämättömät evästeet yhtä helposti kuin ne voi vastaavasti myös hyväksyä. Myös pelkkä Muuta asetuksia ja Hyväksyn kaikki on ohjeiden vastainen. (Päätös Sanoma Media Finlandin evästeistä 8.6.2023) Useilta sivustoilta puuttuu painike Hylkää kaikki ja Vain välttämättömät, joiden pitäisi olla mukana kyselyssä. Oleellisia valintoja ei saa piilottaa muiden valikoiden taakse. Ilmeisesti myös valmiiksi tehdyt tai korostetut esivalinnat esim. Hyväksy kaikki, eivät ole asiallisia.
Tässä (tilanne kesäkuu 2023) kaksi kuvaryhmää nykyisistä evästekyselyistä, klikkaa kuvat näkymään. Monet sivustot tarjoavat puutteelliset valintamahdollisuudet. Ensimmäisessä kuvaryhmässä kommentoidaan huonoja evästekyselyitä. Jälkimmäisessä kuvaryhmässä on esimerkkejä paremmista toteutuksista.
1.
2.
Kuvaryhmä 1. ylärivi vasemmalla; Finnair on tulkinnut evästekyselyn ohjeita näin. Seuraavassa kuvassa tietokantasivusto Marian tiedot laajoista evästejakeluista ja puutteellinen valinta. Seuraavassa kuvassa Opera selaimen ensimmäinen, ja jos kaikkia ei hyvksy, niin sitä seuraava evästekysely. Eipä ole oikein käyttäjäystävällinen.
Alarivissä Alma Media ensimmäinen kyselyruutu ja seuraavassa toinen, alarivissä oikealla S-kauppojen evästeasetuksia, joiden luulisi olevan kaupankäynnin kannalta helpommat.
Kuvaryhmä 2. Käytössä on myös hyväksyttäviä ja kävijöitä vähemmän jarruttavia evästekyselyitä: Oikealla aika hyvä kysely vaihtoehtoineen, seuraavassa kuvassa Domainkeskuksen ihan asiallinen kysely ja oikealla Reader’s Digestin käyttäjäystävällinen kysely.
Mitä tietoja evästeissä voi olla
Evästeet voivat kerätä lähes mitä tahansa tietoja nettisivulla kävijöistä. Niissä voi olla käyttäjäkohtaisia tietoja kuten verkkosivuston nimi, sen kirjautumistiedot kuten käyttäjätunnus, salasana, kieliasetukset, verkkosivulähetteet (some, hakukone jne.), sijainti ja mahdollisesti kävijän puhelinnumero.
Edelleen ne voivat kerätä tietoja käyttäjän toiminnasta kuten selaustavat ja -historia, tiedot käyttöjärjestelmästä, sivustolla vietetty aika, kuinka monta kertaa vierailtu, mitä linkkejä klikattiin, ostoskorituotteet jne.
Miten tästä eteenpäin
Traficomin tapaiset ohjeet auttavat monissa evästesotkun asioissa. Silti emme voi olla vielä lopullisessa tilassa kolmansien osapuolien evästeiden vaaroineen sekä kaikkine evästekyselyineen ja niiden erilaisine ratkaisusuineen. Tilanne on koko ajan muuttumassa kuten edellä on jo kerrottu.
Erilaisia selaamisen turvallisuutta lisääviä mahdollisuuksia on myös olemassa. Seurannan estäviä selaimia on yleisessä käytössä, esim. DuckDuckGo. Lisäksi selaamisen jälkiä voidaan poistaa -> seurantaohjelmistoilla.
Evästeet Neptunetissä
Tämä sivusto on kovin pieni lastu evästemyrskyjen laineilla. Monet vuodet selvisimme sivustolla näkyvillä yksityisyyden tiedoilla, joissa selostetaan evästekäytäntömme. Evästeiden tarpeemme on sunnilleen olematon, mutta on noudatettava yleisiä ohjeita. Vuoden 2024 tamikuussa meillekin tuli EU säännösten mukaan pakolliseksi evästekysely. Niin se oli sitten lisättävä vaikka kävijöiden viivyttely ei innostakaan.
Päivitetty 24.2.2024
Linkkejä ja lisätietoja
Ohjelmia
Maksuton Evästeen automaattinen poistaminen, lisäke Firefoxiin
Maksullinen R-Wipe&Clean
Maksuttomia surantaohjelmistoja SoftwareTestingHelp
Lisätietoja
Tietosuojavaltuutettu: Usein kysyttyä EU:n tietosuoja-asetuksesta
European Comission: Cookies and similar technologies
Cookie Information: Mikä on oikeutettu etu GDPR:n mukaan?
Neptunet: Mikä on palvelin ja mihin sitä käytetään
Neptunet: Sinua seurataan ja vakoillaan Internetissä – vältä varallinen verkkovakoilu
Tagit: Evästeet, Nettitietoa, Selaimet, Tietokone, Windows, Windows 10, Windows 11