anonym.legal
Tagasi BlogisseGDPR ja Vastavus

GDPR audit, mille te ei täida, kui kasutate erinevaid...

Teie auditor küsib isikuandmete tuvastamise juhtelemente. 'Kasutame viit erinevat tööriista' pole vastus, mida nad soovivad.

April 21, 20266 min lugemist
GDPR auditcompliance controlsPII tool consistencyDPA investigationtechnical measures

Auditi hetk

Andmete kaitseasutuse uurija istub vastamisi nõustamisjuhi vastu. DPA vaatab organisatsiooni vastust andmeobjekti kaebusele — endine klient, kes usub, et nende isikuandmeid ei käsitletud korralikult.

Küsimus: "Kirjeldage, millised tehnilised juhtelemendid teie organisatsioon kasutab, et tagada isikuandmete asjakohasel anonüümsus töötajate poolt."

Nõustamisjuht alustab: "Meie juristid kasutavad Word lisa. Meie tugitööstus kasutab Chrome'i laiendust AI tööriistade jaoks. Meie andmete meeskond omab Pythoni skripti. Ja ühekordseteks taotlusteks võib keegi kasutada veebirakendust."

Uurija järelekäimise: "Kas need on kõik sama tööriist? Sama tuvastusmootorit? Sama olemite kattus?"

Nõustamisjuht: "Ei, need on erinevad tööriistid. Nad toimivad erinevalt."

See on hetk, mil audit muutub keeruliseks.

Miks tööriista fragmenteerimine ei täida artikli 32 standardit

GDPR artikkel 32 nõuab "asjakohaseid tehnilisi ja organisatsioonilisi meetmeid", mis rakendavad andmekaitsepõhimõtteid tõhusalt. Artikli 32 standard koosneb kahest komponendist:

Asjakohasuse: Meetmed peavad olema asjakohasesse riski. Rutiinil isikuandmete töötlemisel erinevates töövoogudes on asjakohaseks tehniliseks meetmeks järjepidev isikuandmete tuvastamise kattus — mitte parim jõupingutus, mis erineb tööriistade lõikes.

Näitamise võimalikkus: Meetmed peavad olema näitavad. Artikkel 5(2) (vastutavuse põhimõte) nõuab, et kontroller "saaks näidata nõustamist". Nõustamise näitamine nõuab tõendeid järjepidevast kontrolli rakendamisest.

Fragmendeeritud tööriistadel ei ole näitamise võimalikkust. Kui tööriist A tuvastavad 285 olemite tüüpi kalibreeritud usaldusväärsusega, ja tööriist B tuvastavad 50 olemite tüüpi binaarse tuvastusega, ja tööriist C tuvastavad 200 olemite tüüpi erinevate lävitega — teie ei saa näidata järjepidevat, süstemaatilist isikuandmete kaitset. Teie saate näidata, et mõned tööriistade kasutusid mõnes kontekstis.

DPA tehnilisel hindamisel fragmenteeritud tööriistadest: "Organisatsiooni teknilised juhtelemendid isikuandmete kaitseks on ebajärjepidised töövoogude lõikes, tekitades katvuse lünki ja takistavad keskse auditi jälje ülevaatust."

Lünkade avastamise probleem

Sügavam nõustamise küsimus fragmenteeritud tööriistadele: te tavaliselt ei tea, kus katvuse lüngad on, kuni rikkumisi ei aset leia.

Kui tööriist B (mida kasutab andmete meeskond) ei tunista EL riiklike ID numbreid, mida tööriist A (mida kasutavad juristid) tuvastavad, võib see lünk olla nähtav normaalse tööpaistuse ajal. Andmete meeskond töötleb faile ID tuvastamata. Failid ei tekita ühekski hoiatust. Pole nähtavat märki lüngast.

Lünk muutub nähtavaks, kui:

  • EL rahvuslik ID kuvatakse failil, mida andmete meeskond töödeltas, kuid peaks olema tuvastatud
  • See fail jagatakse kohutavalt
  • Andmeobjekt avastab avastamisest ja esitab GDPR kaebuse

Sel hetkel DPA uurimine paljastab, et andmete meeskond kasutas tööriista erinevalt katvusega teistest meeskondadest — lünk, mis oleks pidanud olema identifitseeritud ja suletud.

Süstemaatiline kattus tähendab: sama olemite tüübid tuvastatakse järjepidevalt kõigis töötlemiste kontekstis, nii et lüngad on nähtavad (olemite tüübi X null tuvastamist üheski töövoos) pigem nähtamatud (tuvastamist mõnes töövoos, kuid mitte teistes).

Mida puhtass nõustamise vastus näeb välja

Nõustamisjuht ühtse platvormiga võib vastata uurijale erinevalt:

"Kasutame ühtset isikuandmete tuvastamise platvormi kõigis töötaja töövoogude lõikes. Juristid, tugitöötajad ja andmete insenerid kasutavad kõike sama alusega tuvastamist motoorit — erinevad kasutajaliideste (Word Lisa, Chrome'i laiendus, Desktop rakendus), kuid sama mudel ja konfiguratsioon. Kõik töötlemine registreeritakse keskses auditi jäljel. Meie standardkonfiguratsioon tuvastavad 285+ olemite tüüpe jurisdiktsiooni-asjakohaseid eelseadumisi. Saaksin tõmmata auditi jäljel mis tahes ajavahemikul, mida soovite üle vaadata."

See vastus on:

  • Spetsiifiline: Nimeta platvorm ja selgita mitmeplatvormse juurutuse
  • Järjepidev: "Sama alusega tuvastamise mootor" käsitleb katvuse ebajärjepidevuse muret
  • Näitav: Keskne auditi jälg tähendab tõendite kättesaadavust

Uurija järelekäimise võib olla: "Näita mulle auditi jälge selle andmeobjekti jaoks viimase 12 kuu jooksul." Keskse auditi jäljega saab see taotlus rahuldada.

Platvormide lõikese järjepidevuse standard

Organisatsioonidele, kes ehitavad kaitstud artikli 32 nõustamise asendeid isikuandmete anonüümsusele:

Minimaalsed järjepidevuse nõuded:

  1. Sama tuvastamismudel või API (mitte lihtsalt sarnased tööriistad — sama alusega mudel)
  2. Sama olemite tüübi kattus kõigis platvormides (kui veebirakendus kontrollib 285 olemeid, desktop rakendus peab kontrollima sama 285 olemeid)
  3. Sama usaldusväärsuse läve konfiguratsioon platvormide lõikes (pole tööriista "lössem" või "rangem" sama olemite tüübi jaoks)
  4. Sama asendamis/anonüümsuse märgid sama olemite tüüpide jaoks platvormides
  5. Keskne auditi jälg liitvad kõik töötlemine kõigis platvormides

Dokumentatsiooni nõuded:

  • Konfiguratsioon hetktõmmis: mis on praegune olemite kattus ja läve konfiguratsioon?
  • Muutuste ajalugu: millal muudeti konfiguratsiooni ja mis muutus?
  • Katvuse tõendid: kuidas teate kõigil platvormidel sama katvusta?

Organisatsioonid võivad selle dokumentatsiooni ehitada mitme tööriista virnadele, kuid see nõuab formaalset konfiguratsioon juhtimist ja regulaarsest üle-tööriistast auditeerimist. Ühtne platvormi juurutus keskse konfiguratsiooniga lihtsustab seda: "Siin on konfiguratsioon. See kehtib kõigis platvormides. Siin on auditi jälg."

Praktiline üleminek fragmendeeritud ühtsele

Nõustamisjuhtidele fragmenteeritud tööriista maastikul:

Samm 1: Kaardi praegused tööriistade ja katvuse

  • Dokumenteeri iga tööriist kasutuseni meeskondade ja töövoolu järgi
  • Dokumenteeri iga tööriista olemite kattus (millised PII tüübid see tuvastavad?)
  • Tunnista katvuse lüngad (mida tööriist A tuvastavad, mida tööriist B ei tunista?)

Samm 2: Määra siht katvuse standard

  • Teie regulatiivsed kohustused (GDPR olemite tüübid, HIPAA PHI identifikaatorid, CCPA kategooriad)
  • Määra standard, mis peaks kehtima kõigis töövoogudes

Samm 3: Identifitseeri ühtsete platvormi

  • Milline tööriist saab juurutada kõigis kasutustes (veeb, desktop, Word, brauser)?
  • Kas see täidab sihtkattuse standard?
  • Kas see pakub keskset auditi jälge?

Samm 4: Rakenda ja migreeri

  • Alusta kõige suuremast riskiga töövoogudega (kus PII on kõige tõenäolisem valesti käitlemist)
  • Migreeri meeskond meeskonnalt, väljaarvutades pärand tööriistade, kui kasutajad liiguvad ühtse platvormi juurde
  • Dokumenteeri migreerimine nõustamise kirjes

Allikad:

Seotud Artiklid

GDPR ja Vastavus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ja Vastavus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ja Vastavus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Kas olete valmis oma andmeid kaitsma?

Alustage PII anonüümitamist 285+ üksustüübi abil 48 keeles.

Alusta Tasuta KatsetVaata Funktsioone