anonym.legal

By · Last updated 2026-05-09

Tilbage til BlogGDPR & Overholdelse

DPO-tjekliste: Anonymiseringsværktøj under GDPR Artikel 28

GDPR Artikel 35 kræver DPIA'er ved højrisikobehandling. ISO 27001-certificering reducerer tidsforbruget på sikkerhedsspørgeskemaer med 73 %.

May 9, 20269 min læsning
DPO GDPR vendor assessmentGDPR Article 28 checklistDPIA anonymization toolISO 27001 procurementdata processor evaluation

Hvorfor DPO'er skal gennemlyse anonymiseringsværktøjer

GDPR kræver en konsekvensanalyse vedrørende databeskyttelse (DPIA) ved højrisikobehandling. Behandling af PII i stor skala er højrisiko. Et anonymiseringsværktøj er en databehandler. Det er underlagt databehandlerreglerne. Du skal vurdere det, inden du går i drift.

To ting er påkrævet. Databehandlere skal tilbyde "tilstrækkelige garantier" for sikkerhed. Al behandling skal styres af en skriftlig kontrakt. Som DPO skal du dokumentere værktøjets sikkerhedskontroller, dets underdatabehandlere, hvor det hoster dine filer, hvordan det håndterer brud, og databehandleraftalen (DPA).

ISO 27001-certificering reducerer arbejdsbyrden. BSI fandt, at certificerede firmaer reducerer tidsforbruget på sikkerhedsspørgeskemaer med 73 %. Gartner fandt, at ISO 27001 kræves i 78 % af Fortune 500-udbud. Et certificeret værktøj lader dig citere certifikatet. Du behøver ikke gennemgå hver enkelt kontrol manuelt. Ikke-certificerede værktøjer kræver mere manuel gennemgang.

Se vores compliance-oversigt og sikkerhedsside for at lære, hvordan vi opfylder disse regler.

Syv ting at kontrollere

Brug denne liste til ethvert anonymiseringsværktøj eller leverandør.

1. Databehandleraftale. Er der indgået en GDPR-kompatibel DPA? Den skal dække: behandling kun efter dine instrukser, omsorgspligt, sikkerhedsforanstaltninger, kontrol med underdatabehandlere, hjælp til rettighedsanmodninger, bortskaffelse eller returnering af filer og revisionsrettigheder.

2. Sikkerhedsdokumentation. Er sikkerhedsforanstaltningerne skriftligt dokumenteret? ISO 27001-certificerede leverandører kan pege på deres certifikat og Statement of Applicability. Det opfylder kravet.

3. Liste over underdatabehandlere. Bruger værktøjet underdatabehandlere? Er de navngivet? Du har krav på forudgående varsel om enhver ændring. Cloudværter, CDN'er og OCR-værktøjer tæller alle med. Manglende navne er et hyppigt hul.

4. Hvor filer hostes. Er dine data hostet i EU? EU-hosting er nemmest for EU-baserede firmaer. Zero-knowledge-værktøjer er også fine — ingen filer forlader overhovedet din enhed. USA-baserede leverandører kræver Standard Contractual Clauses (SCC'er).

5. Brudmeddelelse. Hvor hurtigt vil leverandøren informere dig om et brud? Loven kræver underretning til din tilsynsmyndighed inden for 72 timer. Din leverandør skal advare dig først. Kontroller, at DPA'en bekræfter dette.

6. Leverandørens DPIA. Har leverandøren udarbejdet deres egen DPIA? Kan du læse den? Ingen DPIA betyder et hul i din egen dokumentation. Dette er et hyppigt problem.

7. Sletning og portabilitet. Kan leverandøren håndtere slette- og portabilitetsanmodninger? Zero-knowledge-værktøjer lagrer ingen filer, så sletning gælder muligvis ikke. DPIA'en skal sige det.

En god leverandør giver dig fire elementer: ISO 27001-certifikat, bevis for EU-hosting, deres DPIA og en underskrevet DPA. Disse fire elementer udfylder ethvert hul i din egen DPIA. Din tilsynsmyndighed vil være tilfreds.

Læs vores DPO FAQ for hyppige spørgsmål om leverandørgennemgang.

Kilder

Relaterede Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.