Die Verspreiding-Probleem
Organisasies het gereeld geen enkele "PII-anonimiseringsgereedskap" nie. In plaas daarvan het hulle:
- ChatGPT: Vir vinnige kunsteun PII-redaksie (geen oudite)
- Python-anonimiseringsskrip: Vir batch-prosessering van ou dokumente (gemak deur interne tegnisespesialiste)
- Handmatige redaksie: Vir wetsaangeleenthede waar vertrouiing van die anonimeproses kritiese is
- Derde-party pakette: Vir spesialiserte verwerking (bv. mediese redaksie)
Elke gereedskap het sy eie:
- Konfigurasieveranderlke: Ander PII-tipe (entiteit-erkenningstipes, kredietkaartnommer-formaat, ensovoorts)
- Logregistrasie: Ander logs of geen logs
- Opleiding: Ander model-tipes, data-versies
- Versionering**: Ander versies in gebruik
Waarom dit GDPR-oudite skennis
Wanneer 'n GDPR-reëlafdeling ooit 'n oudit doen en vrae soos hierdie vra:
- "Watter PII-tipe het jy in hierdie dokument geïdentifiseer?"
- "Watter PII-tipe het jy DALK gemis?"
- "Hoe het jy die anonimepercentasie bepaal?"
- "Watter organisasie het die anonimering uitgevoer?"
- "Kan julle dit herhaal en dieselfde resultaat kry?"
Dan het jy nou drie probleme:
- Geen enkelvoudige antwoord: 'n ChatGPT-proses kan verskillend antwoord van 'n Python-skrip
- Geen versietrakering: Jy kan nie sê dat jy dieselfde gereedskap-weergawe gebruik het as vorige maand nie
- Geen bewys: Jy het geen loggedrag van wat die gereedskap gedoen het nie
Dit oor GDPR Artikel 5(2) — "accountability" — jy kan nie bewys dat jy konform was nie.