anonym.legal

By · Last updated 2026-06-05

Tornar al BlogGDPR i Compliment

La fragmentacio d'eines de PII causa fallades en les auditories de compliment

Quatre eines diferent per a quatre fluxos de treball diferent significa quatre conjunts de cobertura d'entitats diferent i quatre rastres d'auditoria diferent.

June 5, 20267 min llegit
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Que pregunten els auditors sobre els controls de PII

Els auditors del RGPD i de l'ISO 27001 fan una pregunta estandard. "Quins controls teniu per a l'anonimitzacio de PII?"

Volen una resposta clara. Un control. Aplicat de la mateixa manera cada vegada. Amb documentacio i proves.

La resposta de risc sona aixi: "Depen del context. L'extensio de Chrome per a la navegacio web. Una macro de Word per a documents legals. Un script de Python per a fitxers en bloc. L'aplicacio web per a sollicituds urgents."

Aquesta resposta provoca preguntes de seguiment. "Quines son les llacunes de cobertura entre aquestes eines? On es el rastre d'auditoria?"

Les eines fragmentades no poden respondre aquestes preguntes. Aqui rau el problema de compliment.

El problema de consistencia de la cobertura

Les eines de PII diferent utilitzen metodes de deteccio diferent. Els seus resultats diferixen, de vegades molt.

Les eines basades nomes en regex cerquen patrons fixos. Format NSS. Format de correu electronic. Format de targeta de credit. Es perden les entitats basades en NER. Els noms de persones i els formats no nord-americans passen desapercebuts.

Les eines basades nomes en NER detecten tipus d'entitats usant models entrenats. Es perden les entitats basades en patrons. Els IBAN i els identificadors personalitzats passen pel filtre si no estan en les dades d'entrenament.

Cada eina te una cobertura d'entitats diferent. Cada eina te llindars de confianca diferent. El mateix document a traves de l'Eina A i l'Eina C pot produir resultats diferent. VERIFICAT.

Aixo crea una llacuna de compliment directa. L'Eina A s'utilitza per a PDF. L'Eina B s'utilitza per a Excel. L'Eina A detecta dates de naixement. L'Eina B no. La data de naixement de la mateixa persona esta anonimitzada en els PDF pero exposada en els fitxers Excel.

La llacuna depen del format del fitxer, no de la politica. No de la intencio.

Els investigadors de les autoritats de proteccio de dades poden trobar aquesta llacuna en una investigacio d'una violacio. La inconsistencia de les eines es converteix en un factor en l'exposicio. VERIFICAT: l'Article 32 del RGPD requereix mesures tecniques sistematiques.

El problema del rastre d'auditoria

El compliment requereix proves de l'us consistent del control. Per a l'anonimitzacio de PII, aquesta evidencia es el rastre d'auditoria.

Quatre eines produeixen quatre formats de registre diferent. Algunes no produeixen cap registre.

Una macro de Word no crea cap registre d'auditoria. Un script de Python pot escriure en un fitxer local. Aquest fitxer no esta vinculat al vostre sistema de compliment. Una extensio de Chrome pot escriure registres del costat del navegador. Aquests registres no son accessibles per a la revisio de compliment.

Quan una investigacio d'una autoritat de proteccio de dades demana proves d'auditoria, nomes una resposta funciona. Es un registre centralitzat. Cobreix tot el processament d'anonimitzacio en totes les plataformes.

L'altra resposta no funciona. Els registres a la maquina local del desenvolupador d'una macro de Word no son suficients.

El processament en una sola plataforma fa possible un rastre d'auditoria. Les eines fragmentades ho fan impossible.

Per a informacio detallada sobre els requisits del rastre d'auditoria, consulteu la redaccio explicable i els rastres d'auditoria de HIPAA.

El problema de la deriva de la configuracio

Amb el temps, les diverses eines desenvolupen configuracions diferent. Aixo passa lentament i sense avis.

Considereu un patro habitual. L'extensio de Chrome s'actualitza amb tipus d'entitats personalitzades. El script de Python no s'actualitza. La macro de Word la va configurar un membre de l'equip que des d'aleshores ha marxat. Ningu coneix la configuracio actual. La configuracio prestablerta de l'aplicacio web canvia per excloure els noms dels contractistes. Aquest canvi no arriba mai a les altres eines.

Actualitzar una eina sense actualitzar les altres provoca deriva. Amb el temps, la deriva provoca llacunes.

Els auditors de l'ISO 27001 demanen documentacio de la configuracio. "Tenim quatre eines, quatre configuracions i no estem segurs que siguin les actuals" no es una bona resposta. VERIFICAT: l'Annex A 8.11 de l'ISO/IEC 27001:2022 (Emmascarament de dades) requereix controls documentats i consistents; ISO/IEC 27001:2022.

Una constatacio de l'ISO 27001 en la practica

Una firma de compliment de 15 persones utilitzava quatre eines. Un raspador web per a dades en linia. Una eina d'escriptori de Windows per a fitxers en bloc. Una macro de Word per a documents legals. Una extensio de Chrome per a eines d'IA.

Una auditoria de l'ISO 27001 va produir una constatacio. Resultats de deteccio diferent entre plataformes. Sense rastre d'auditoria centralitzat. Una llacuna a l'Annex A 8.11. El control no es va mostrar com aplicat de manera consistent. VERIFICAT-EXTERN: aixo coincideix amb els patrons de no-conformitat documentats de l'Annex A 8.11 de l'ISO 27001.

La constatacio va requerir un pla d'accio correctiva. L'accio correctiva va ser la consolidacio de plataformes.

Despres de la consolidacio, la firma tenia un motor de deteccio en les quatre plataformes. Els mateixos presets s'aplicaven en cada context. Tot el processament es registrava en un sol lloc. La constatacio de l'ISO 27001 es va tancar a la seguent auditoria.

El projecte va durar sis setmanes. Va substituir una resposta d'accio correctiva de 12 pagines per una constatacio tancada.

Per a mes informacio sobre com l'anonimitzacio consistent dona suport a la preparacio per a les auditories del RGPD, consulteu la consistencia de l'anonimitzacio, els presets i les auditories del RGPD.

La prova de la narrativa de compliment

Podeu respondre aquestes quatre preguntes sense dubtar?

  1. Quins tipus d'entitats es detecten en totes les plataformes que fa servir el vostre equip?
  2. Quin es el llindar de deteccio per a cada tipus d'entitat, de manera consistent en totes les plataformes?
  3. On es el rastre d'auditoria centralitzat per a tota l'anonimitzacio dels darrers 12 mesos?
  4. Com us assegureu que els canvis de configuracio s'apliquen en totes les plataformes?

Si alguna pregunta genera dubte, la fragmentacio esta creant risc de compliment.

La resposta neta a les quatre preguntes es assolible. Requereix un motor en totes les plataformes. Sense aixo, cada eina crea la seva propia llacuna de cobertura. El seu propi silo de rastre d'auditoria. La seva propia deriva de configuracio.

Els auditors noten aquestes llacunes. Els investigadors de les autoritats de proteccio de dades les poden explotar. Consolidar abans d'una constatacio d'auditoria es molt mes facil que fer-ho despres.

Per a mes informacio sobre com la fragmentacio d'eines afecta els controls del RGPD entre plataformes, consulteu l'auditoria del RGPD i la fragmentacio d'eines de PII entre plataformes.

Fonts

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.