Miksi HubSpot-seuranta tarvitsee aidon suostumussignaalin

HubSpot tallentaa kävijän laitteelle useita ensimmäisen osapuolen evästeitä heti, kun seurantaskripti (hs-scripts.com/{hub_id}.js HubSpot JavaScript -koodinpätkä) suoritetaan. Merkittävimmät ovat __hstc, hubspotutk ja __hssc, jotka yhdessä tunnistavat kävijän eri istuntojen välillä, yhdistävät lomakkeiden lähetykset anonyymiin selaushistoriaan ja ruokkivat CRM:n liidipisteytymismalleja. GDPR:n ja ePrivacy-direktiivin mukaisesti kaikki kolme ovat ei-välttämättömiä evästeitä, jotka edellyttävät vapaaehtoisesti annettua, erityistä, tietoista ja yksiselitteistä ennakkosuostumusta. Koodinpätkän lataaminen dokumentin otsikkoon — joka on HubSpotin oletusintegraatiomalli — sijoittaa nämä evästeet ennen kuin kävijältä on kysytty mitään.

Seuraukset eivät ole teoreettisia. Ranskan, Italian ja Espanjan tietosuojaviranomaiset ovat kaikki viimeisen kahden vuoden aikana käynnistäneet täytäntöönpanotoimia organisaatioita vastaan, joiden markkinointipinot asettivat seurantaevästeitä ennen suostumusta. Sakot ovat vaihdelleet viisistä numeroisista rangaistuksista pienille julkaisijoille useamman miljoonan euron rangaistuksiin suurille yrityksille. HubSpotin natiivi evästebanneri on olemassa, mutta se on tarkoituksellisesti kevyt eikä yksinään estä koodinpätkän suorittamista. Useimmat vaatimustenmukaisuuden tarkastajat pitävät sitä ilmoituskerroksena eikä ohjauskerroksena.

Mitä HubSpot todella seuraa

Ennen kuin päätetään miten HubSpot rajoitetaan, on hyödyllistä olla tarkka siitä, mitkä käsittelykategoriat ovat kyseessä. HubSpotin seurantapinta jakautuu neljään päällekkäiseen alueeseen, joista kullakin on omat suostumusvaikutuksensa.

Käyttäytymisanalytiikka

Sivunäkymä-, klikkaus-, vieritys- ja istunnon kestotapahtumat kerätään automaattisesti heti, kun seurantakoodi latautuu. Nämä tapahtumat rakentavat kävijäaikajanan, jonka näet HubSpotin yhteystietueissa, ja ne ovat jokaisen liidipisteytys- tai työnkulkusäännön perusta. Viranomaisten näkökulmasta tämä on suoraviivainen analytiikkaseuranta ja vaatii opt-in-suostumuksen EU:ssa ja EEA:ssa. UK:ssa ICO:n vuoden 2023 ohjaus kohtelee sitä identtisesti.

Lomakkeet ja chat

HubSpot-lomakkeet ja HubSpot-chat-widget (aiemmin Drift-integraatio) voidaan konfiguroida latautumaan pääseurantaskriptistä riippumattomasti. Lomakkeiden lähettämisiä pidetään useimmissa oikeudellisissa analyyseissä erillisenä käsittelytoimintana, jolla on oma laillinen peruste — tavallisesti sopimuksen suorittaminen tai oikeutettu etu. Chat, joka tallentaa transkriptit kolmannen osapuolen palvelimelle, vaatii kuitenkin yleensä suostumuksen itse tallentamiselle.

Toimialueiden välinen identiteettiompeleminen

Jos käytät samaa HubSpot-portaalia useilla toimialueilla, koodinpätkä yrittää asettaa ja lukea evästeitä tavalla, joka yhdistää kävijät näiden ominaisuuksien välillä. Tämä ulottuu siihen, mitä EDPB kutsuu «seurannaksi» tiukassa merkityksessä, ja on korkein riskiluokka. Se on myös se, joka todennäköisimmin merkitään DPIA:n aikana.

Markkinointi-integraatiot

HubSpot voi työntää tapahtumia Google Adsiin, Metaan, LinkedIniin ja muihin mainosverkostoihin integraatioidensa kautta. Jokaisella näistä edelleensiirroista on oma suostumusvaatimuksensa ja EU:ssa oma tiedonsiirtoarviointinsa.

HubSpotin natiivi banneri vs. kolmannen osapuolen CMP

HubSpot toimittaa sisäänrakennetun evästeiden suostumusbannerin, jonka voi ottaa käyttöön kohdasta Asetukset > Tietosuoja & Suostumus. Se näyttää konfiguroitavan ilmoituksen, kirjaa suostumustietueen yhteystietoa vastaan ja kunnioittaa yksittäistä kieltäytymistä analytiikalle. Hyvin pienille organisaatioille matalan riskin lainkäyttöalueilla se voi riittää. Kenellekään, joka suhtautuu vaatimustenmukaisuuteen vakavasti — tai kenellekään, joka pyörittää suostumustilaa hyödyntävää mainontaa — se ei riitä.

Syyt siirtyä kolmannen osapuolen CMP:hen ovat käytännöllisiä:

• Tarkkaiset kategoriat. Natiivi banneri ei erota välttämättömiä, toiminnallisia, analytiikka- ja markkinointievästeitä erillisiksi vaihtimiksi, mikä on viranomaisien odottama rakenne.
• IAB TCF ja GPP -tuki. Jos osallistut ohjelmalliseen mainontaan, tarvitset Google-sertifioidun CMP:n, joka lähettää voimassa olevan TC-merkkijonon. HubSpotin natiivi banneri ei tee tätä.
• Consent Mode v2. Google edellyttää nyt EEA-liikenteelle v2-muodossa toimitettuja suostumussignaaleja. Omistettu CMP kaapeloi tämän päästä päähän, mukaan lukien oletusarvoinen kieltämiskonfiguraatio.
• Monikielisyys ja saavutettavuus. Useimmat CMP:t toimitetaan yli 30 kielipaketin ja WCAG-yhteensopivien oletusarvojen kanssa. HubSpotin sisäänrakennettu banneri on rajoitetumpi.
• Auditoinnin tason lokikirjaus. Omistettu CMP tallentaa jokaisen suostumuspäätöksen aikaleiman, banneriversioin ja valinnan kanssa — todisteet, joita viranomaiset pyytävät tutkinnoissa.

Vaiheittainen integraatio kolmannen osapuolen CMP:n kanssa

Luotettavasti toimiva integrointikaava on pitää HubSpot-koodinpätkä sivulla mutta estää sen suorittaminen, kunnes suostumuspäätös on kirjattu. Alla on kanoninen lähestymistapa, kirjoitettu yleisesti niin, että se soveltuu mihin tahansa moderniin CMP:hen mukaan lukien FlexyConsent.

1. Poista oletuskoodinpätkä dokumentin otsikosta

Sivustosi mallissa poista inline-<script>-tunniste, joka lataa hs-scripts.com/{hub_id}.js. Korvaa se paikkamerkillä, jonka CMP:si voi myöhemmin aktivoida, tyypillisesti asettamalla type-attribuutin arvoksi text/plain ja lisäämällä kategoriadataattribuutti kuten data-category="marketing".

2. Kartoita HubSpot oikeaan suostumuskategoriaan

Useimmat CMP:t käyttävät IAB TCF:ää tai neljän ämpärin mallia: välttämätön, toiminnallinen, analytiikka, markkinointi. HubSpotin seurantaskripti koskettaa sekä analytiikka- että markkinointikategorioita CRM-integraation vuoksi. Konservatiivinen kartoitus on sijoittaa koko koodinpätkä markkinointikategorian taakse, joka on rajoittavin ämpäri. Jos CMP:si sallii hienojakoisen kartoituksen, voit jakaa: lataa lomakkeet toiminnallisen alle, lataa analytiikkatapahtumat analytiikan alle ja lataa CRM-identiteettiompeleminen markkinoinnin alle.

3. Konfiguroi aktivointitakaisinkutsu

CMP:si paljastaa tapahtuman tai takaisinkutsun, joka käynnistyy, kun käyttäjä myöntää suostumuksen kategorialle. Tuossa takaisinkutsussa kirjoita paikkamerkki-skriptitunnisteen type-attribuutti takaisin arvoon text/javascript ja liitä se dokumenttiin. Skripti latautuu ja suoritetaan sitten normaalisti. SPA:ta varten rekisteröi takaisinkutsu jokaisen reittimuutoksen yhteydessä niin, että äskettäin liitetyt sivut saavat myös aktivoinnin.

4. Kaapeloi Consent Mode v2

Jos käytät Google Adsia tai GA4:ää HubSpotin rinnalla, CMP:si täytyy työntää v2-suostumussignaalit — ad_storage, analytics_storage, ad_user_data, ad_personalization — dataLayeriin ennen kuin mikään Google-tunniste laukeaa. HubSpot itse ei kuluta näitä signaaleja, mutta muu pinosi tekee, ja epäjohdonmukaisuus HubSpotin ja Googlen välillä näkyy raportoinnissasi mitattavana tulojen vajeena.

5. Synkronoi suostumustila HubSpot CRM:ään

Kun tunnettu yhteyshenkilö päivittää suostumuksensa (esimerkiksi palaamalla banneriin ja peruuttamalla markkinointisuostumuksen), sinun tulisi heijastaa se HubSpot-tietueeseen niin, että työnkulkulogiikka lopettaa markkinointisähköpostien lähettämisen. HubSpot API paljastaa communication-preferences-päätepisteen, joka hyväksyy tilauksen tason päivitykset. Useimmat CMP:t voidaan konfiguroida kutsumaan tätä päätepistettä palvelinpuolen hookista.

Yleiset sudenkuopat ja miten välttää ne

Kolme integraatiovirhettä muodostaa suurimman osan löydöksistä, joita näemme HubSpot-raskaissa pinoissa.

Koodinpätkän lataaminen liian aikaisin

Jotkut tiimit sijoittavat HubSpot-tunnisteen tunnisteenhallintajärjestelmään ja olettavat tunnisteenhallintajärjestelmän käsittelevän suostumuksen. Google Tag Manager kunnioittaa suostumustilaa, mutta vain tunnisteille, jotka eksplisiittisesti vaativat myönnetyn tilan. Jos HubSpot-tunniste on konfiguroitu ilman tätä vaatimusta, GTM laukaisee sen joka tapauksessa. Aseta aina tunnisteen Lisäsuostumus-kenttä vaatimaan markkinointisuostumusta ennen laukaisemista.

Lomakeskriptien unohtaminen

HubSpot-lomakkeet toimitetaan erilliseltä toimialueelta (forms.hsforms.com) ja ne voidaan upottaa omalla skriptillään. Jos rajoitat pääseurantakoodinpätkän mutta jätät lomakeskriptin latautumaan ensimmäisellä renderöinnillä, et ole oikeasti ratkaissut ongelmaa — lomakekirjasto asettaa omia tunnistevästeitään. Rajoita molemmat ja anna CMP:n ladata ne yhdessä.

Kieltäytymisen käsittely suostumuksena

HubSpotin natiivit asetukset sisältävät Älä seuraa -vaihtoehdon ja yhden klikkauksen kieltäytymisen. Jotkut tiimit tulkitsevat nämä riittäväksi mekanismiksi GDPR:n noudattamiseksi. Ne eivät ole — GDPR edellyttää myönteistä opt-in-suostumusta ei-välttämättömille evästeille, eikä tietosuojasivulle piilotettu kieltäytymisvalintaruutu täytä tätä edellytystä. Tee CMP:stä suostumustilan auktoritatiivinen lähde ja konfiguroi HubSpot noudattamaan sitä.

Auditointivalmis dokumentaatio

Kun tekninen integraatio on paikoillaan, viimeinen askel on varmistaa, että todisteketjusi kestää viranomaispyynnön. Pidä vähintään kirjaa seuraavista: kategorioista, joihin CMP:si kartoittaa HubSpotin, suostumusbannerin versiosta, joka on käytössä tiettynä päivänä, esimerkkiTC-merkkijonoista, jotka osoittavat voimassa olevan suostumuksen, ja API-lokeista, jotka todistavat, ettei HubSpot suorittanut yhtään seurantakutsua ennen suostumuksen myöntämistä. Useimmat täytäntöönpanotoimet pysähtyvät eivät teknologiaan vaan dokumentaatioon — organisaatiot, jotka voivat tuottaa selkeän paperipolun, ratkaisevat tutkimukset tyypillisesti paljon nopeammin kuin ne, jotka eivät pysty. Suostumustenhallinta-alusta, joka vie nämä artefaktit pyydettäessä, muuttaa auditoinnin useiden viikkojen sekasorrostilasta yksipäiväiseksi vastaukseksi.