Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 1-2 h
Evästeet ja seuranta ennen suostumusta
Korjaa analytiikka-, markkinointi- ja kolmannen osapuolen skriptit, jotka aktivoituvat ennen kuin kävijä on tehnyt suostumusvalinnan.
Kattaa: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 30-90 min
Suostumusbanneri puuttuu
Palauta tai ota käyttöön ensimmäisen tason suostumusbanneri ennen kuin mikään valinnainen seuranta tai tallennus alkaa.
Kattaa: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 15-60 min
Ei hylkäysvaihtoehtoa tai hylkäys on piilotettu
Tee hylkäämisestä yhtä helppoa ja näkyvää kuin hyväksymisestä korjaamalla puuttuvat, piilotetut tai heikennetyt Reject-toiminnot.
Kattaa: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 1-2 h
Cookie wall
Poista mallit, jotka estävät pääsyn sisältöön, kunnes kävijä hyväksyy valinnaisen seurannan.
Kattaa: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Vakavuus: KeskitasoOmistaja: MarketingKorjausaika: 30-120 min
Luokittelemattomat evästeet
Luokittele tuntemattomat evästeet, dokumentoi niiden tarkoitus ja lopeta ilmoittamattoman tallennuksen vieminen tuotantoon.
Kattaa: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 1-2 h
Google Consent Mode -ristiriita
Korjaa tilanteet, joissa Google-tagit käyttäytyvät kuin suostumus olisi annettu, vaikka runtime-tila on denied.
Kattaa: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 1-3 h
Kolmannen osapuolen pyynnöt ennen suostumusta
Estä valinnaisia toimittajia tekemästä verkkokutsuja ennen kuin kävijä on päättänyt, sallitaanko ne.
Kattaa: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Vakavuus: KeskitasoOmistaja: KehitysKorjausaika: 30-90 min
Google Fonts ennen suostumusta tai ulkoinen fonttien lataus
Hostaa fontit paikallisesti ja poista etäkutsut, jotka lähettävät pyyntöjä ennen opt-inia.
Kattaa: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Vakavuus: KeskitasoOmistaja: KehitysKorjausaika: 30-120 min
Turvattomat seurantaevästeet (Secure- tai SameSite-ongelmat)
Vahvista evästeattribuutit, jotta valinnaisia evästeitä ei toimiteta heikoilla selaimen suojausasetuksilla.
Kattaa: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 1-3 h
Fingerprinting ennen suostumusta
Siirrä myöhemmäksi tai korvaa skriptit, jotka tutkivat selaimen ominaisuuksia ennen kuin kävijä on tehnyt suostumusvalinnan.
Kattaa: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 1-2 h
Google Consent Modea ei havaita
Ota käyttöön Consent Moden oletusarvot ja päivitykset niin, että Google-tagit saavat eksplisiittisen suostumustilan eivätkä toimi ilman signaalia.
Kattaa: consent_mode_not_detected, consent_mode_missing
- Varmista, että Consent Moden oletusarvot ovat olemassa jo ensimmäisellä latauksella ennen valinnaisia tageja.
- Varmista, että Reject pitää Googlen storage-arvot denied-tilassa.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 30-90 min
Analytics ennen suostumusta
Estä analytiikkatyökaluja latautumasta tai kirjoittamasta storagea ennen kuin kävijä on antanut eksplisiittisen suostumuksen.
Kattaa: pre_consent_analytics_cookie, analytics_before_consent
- Varmista, ettei analytics-pyyntöjä lähde ennen suostumusta.
- Varmista, ettei analytics-evästeitä aseteta ennen kuin käyttäjä hyväksyy.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 30-90 min
Markkinointievästeet ennen suostumusta
Estä mainos- ja retargeting-evästeet sekä skriptit, kunnes käyttäjä on eksplisiittisesti hyväksynyt markkinoinnin.
Kattaa: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Varmista, ettei markkinointievästeitä ole ennen suostumusta.
- Varmista, ettei pyyntöjä lähde mainosverkostoihin ennen kuin käyttäjä hyväksyy.
Vakavuus: KorkeaOmistaja: MarketingKorjausaika: 30-60 min
Meta Pixel ennen suostumusta
Estä Meta Pixelin latautuminen tai tapahtumien lähetys ennen kuin kävijä on antanut tarvittavan markkinointisuostumuksen.
Kattaa: meta_pixel_before_consent, pre_consent_meta_pixel
- Varmista, ettei Meta-pyyntöjä lähde ennen suostumusta.
- Varmista, että Meta-evästeet puuttuvat edelleen denied-tilassa.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 30-60 min
GA4 ennen suostumusta
Siirrä Google Analytics 4:n alustus myöhemmäksi, kunnes voimassa oleva analytics-suostumus on olemassa, ja varmista että Consent Mode -parametrit toimivat johdonmukaisesti.
Kattaa: ga4_before_consent, pre_consent_ga4
- Varmista, ettei GA4-kutsuja lähde ennen analytics-suostumusta.
- Varmista, että `_ga`-evästeet puuttuvat ennen opt-inia.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 1-2 h
GTM-tagit laukeavat ennen suostumusta
Korjaa GTM-triggerit niin, etteivät valinnaiset tagit suorita mitään ennen kuin vaadittu suostumus on olemassa.
Kattaa: gtm_tags_before_consent, pre_consent_gtm_fire
- Varmista Previewssa, ettei yksikään valinnainen GTM-tag laukea ennen suostumusta.
- Varmista, että ensimmäisellä latauksella aktiivisina pysyvät vain olennaiset tagit.
Vakavuus: KorkeaOmistaja: CMP-ylläpitäjäKorjausaika: 15-45 min
Reject vain toisessa kerroksessa
Näytä Reject-painike jo ensimmäisessä kerroksessa sen sijaan, että käyttäjä pakotetaan avaamaan asetukset tai tekemään lisäklikkauksia valinnaisen käsittelyn hylkäämiseksi.
Kattaa: reject_in_second_layer, reject_not_first_layer
- Varmista, että Reject on näkyvissä ensimmäisessä kerroksessa desktopilla ja mobiilissa.
- Varmista, että Reject ensimmäisestä kerroksesta blokkaa valinnaiset tagit.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 30-90 min
Suostumusbanneri ei näy mobiilissa
Korjaa viewport-, CSS- ja lazy-load-ongelmat, joiden takia banneri katoaa tai ei renderöidy mobiilissa.
Kattaa: mobile_banner_missing, consent_banner_mobile
- Varmista, että banneri näkyy oikealla mobiililaitteella.
- Varmista, että käyttäjä voi käyttää sekä Accept- että Reject-toimintoja mobiilissa.
Vakavuus: KeskitasoOmistaja: KehitysKorjausaika: 30-90 min
Suostumustila ei säily
Korjaa storage- ja reload-käyttäytyminen niin, että kävijän valinta säilyy ja sitä sovelletaan sivujen ja sessioiden välillä.
Kattaa: consent_not_persisted, consent_state_lost
- Varmista, että sama valinta säilyy reloadin ja sivujen välisen navigoinnin jälkeen.
- Varmista, että Reject pysyy denied-tilassa myöhemmällä vierailulla.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 1-2 h
Kolmannen osapuolen embedit ennen suostumusta
Siirrä YouTuben, karttojen, chatin, varauksen ja muiden kolmannen osapuolen embedien lataus myöhemmäksi, kunnes kävijä on suostunut tai nimenomaisesti päättänyt ladata ne.
Kattaa: pre_consent_embed, third_party_embed_before_consent
- Varmista, etteivät embed-palveluntarjoajat saa pyyntöjä ensimmäisellä latauksella.
- Varmista, että embed latautuu vasta opt-inin tai click-to-loadin jälkeen.
Vakavuus: KorkeaOmistaja: MarketingKorjausaika: 15-45 min
Hotjar ennen suostumusta
Estä Hotjaria lataamasta session replay- tai heatmap-skriptejä ennen kuin kävijä on antanut analytics- tai markkinointisuostumuksen.
Kattaa: hotjar_before_consent, pre_consent_hotjar
- Varmista, ettei Hotjar lataudu ennen suostumusta.
- Varmista, että Hotjar-evästeet puuttuvat pre-consent-tilassa.
Vakavuus: KeskitasoOmistaja: MarketingKorjausaika: 30-120 min
Evästeilmoitus on vanhentunut
Sovita julkaistu evästeilmoitus runtime-evidenssissä todellisuudessa havaittuihin evästeisiin ja toimittajiin.
Kattaa: cookie_declaration_outdated, declaration_mismatch
- Varmista, että jokainen havaittu eväste esiintyy ilmoituksessa.
- Varmista, ettei poistettuja toimittajia enää listata, jos ne eivät enää ole käytössä.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 1-2 h
Evästeitä asetetaan edelleen Rejectin jälkeen
Korjaa virrat, joissa valinnaiset evästeet tai pyynnöt jatkuvat siitä huolimatta, että kävijä on nimenomaisesti hylännyt trackingin.
Kattaa: cookies_after_reject, reject_not_enforced
- Reject ja reload: varmista, että valinnaiset evästeet puuttuvat edelleen.
- Reject ja reload: varmista, että valinnaiset pyynnöt pysyvät blokattuina.
Vakavuus: KeskitasoOmistaja: KehitysKorjausaika: 30-90 min
CSP blokkaa suostumusbannerin
Päivitä Content Security Policy niin, että CMP-skripti, tyylit tai iframe-resurssit voivat latautua ilman, että turvallisuutta höllennetään tarpeettomasti.
Kattaa: cmp_blocked_by_csp, consent_banner_csp_error
- Varmista, että CMP-resursseihin liittyvät CSP-virheet katoavat.
- Varmista, että banneri renderöityy normaalisti ja hyväksyy käyttäjän interaktiot.
Vakavuus: KorkeaOmistaja: KehitysKorjausaika: 1-3 h
Suostumusongelmat server-side GTM:ssä
Synkronoi server-side GTM:n reititys ja suostumuksen välitys niin, ettei server-side-taggaus ohita kävijän suostumustilaa.
Kattaa: ssgtm_consent_issue, server_side_gtm_before_consent
- Varmista, ettei valinnaisia eventtejä proxata server-side GTM:ään ennen suostumusta.
- Varmista, että Accept aktivoi halutun event-virran ja Reject pitää sen denied-tilassa.