anonym.legal

By · Last updated 2026-06-05

Itzuli BlogeraGDPR & Betetze

GDPR auditoria porrot: PII tresna zatiketa

Zure auditoreak PII detekzio-kontrolak eskatzen ditu. 'Bost tresna desberdin erabiltzen ditugu' ez da nahi duten erantzuna. Hona zergatik plataforma arteko koherentziak garrantzia duen.

June 5, 20266 min irakurri
GDPR auditcompliance controlsPII tool consistencyDPA investigationtechnical measures

GDPR auditoria porrot: PII tresna zatiketa

2026rako eguneratua.

Zure auditoreak galdera bakarra egiten du: "Zer kontrol teknikok babesten dute datu pertsonalak?" Erantzun okerra: "Bost tresna desberdin erabiltzen ditugu." Hona zergatik bost tresna erabiltzeak GDPR auditoriak huts egiten dituen eta erantzun garbiak nolakoak diren.

Auditoriaren unea

Datu Babeseko Agintaritzaren (DBA) ikerlari batek betetze-arduradun batekin elkartzen da. DBAk datu-pertsonaren erreklamazio bat berrikusten du. Aurreko bezero batek bere datuak gaizki kudeatuak izan zirela dio.

Galdera: "Zer kontrol erabiltzen ditu zure erakundeak datu pertsonalak langileek prozesatzen dituztenean seguruak mantentzeko?"

Betetze-arduraduna: "Gure abokatuek Word gehigarria erabiltzen dute. Laguntza-langileek Chrome Luzapena erabiltzen dute. Gure datu-taldeak Python script bat du. Eskaera bakargabeetarako, edonork web aplikazioa erabil dezake."

Ikerlariak: "Tresna bera al dira hauek? Motor bera? Estaldura bera?"

Betetze-arduraduna: "Ez. Modu desberdinean lan egiten dute."

Hori da auditoria zaildu egiten denean.

Zergatik huts egiten duten zatitutako tresnek 32. artikuluaren arabera

GDPR 32. artikuluak "neurri tekniko eta antolakuntza egokiak" eskatzen ditu. Estandarrak bi zati ditu.

Arriskuari egokitua. Neurriek arriskuarekin bat egin behar dute. Hainbat lan-fluxutan prozesatutako datu pertsonaletarako, PII detekzio koherentea beharrezkoa da. Tresnen arabera aldatzen den detekzioak ez du barra hori betetzen.

Froga. Neurriak frogagarriak izan behar dira. 5(2). artikulua, erantzukizun-printzipioa, kontrolatzaileek "betetzea frogatu" ahal izatea eskatzen du. Horrek kontrol koherentearen froga esan nahi du. Ez ahalegina. Koherentea.

Tresna zatituak frogetan huts egiten du. A tresnak 285 entitate-mota detektatzen ditu. B tresnak 50 detektatzen ditu. C tresnak 200 detektatzen ditu baina atalase desberdinekin. Ezin duzu babesa koherentea dela frogatu pila horrekin. Zenbait testuingurutan zenbait tresna exekutatu direla soilik erakutsi dezakezu.

DBAren tresna zatituei buruzko aurkikuntza honek irakurtzen du: "PII babeseko kontrol teknikoak ez dira koherenteak lan-fluxuen artean. Horrek estaldura-hutsuneak sortzen ditu eta auditoria-pistaren berrikuspena zentralizatzen eragozten du."

Hutsune-aurkikuntzaren arazoa

Sarri ez dakizu non dauden estaldura-hutsuneak hauste bat gertatu arte.

Esan dezagun B tresnak (datu-taldeak erabiltzen duena) EBko nortasun-agirien zenbakiak ez dituela detektatzen. A tresnak (abokatuek erabiltzen dutena) bai. Hutsune hau ikusezina da lan arruntean. Fitxategiak prozesatzen dira. Ez da alertarik sumatzen. Ez dago ezer okerrik.

Hutsunea agertzen da honakoak gertatzen direnean:

  • EBko nortasun-agiriaren zenbaki bat datu-taldeak prozesatutako fitxategi batean agertzen da
  • Fitxategi hori kontrolik gabe partekatzen da
  • Datu-pertsonak esposaketa aurkitzen du eta GDPR erreklamazioa aurkezten du

Orain DBAk hutsune bat agerian uzten du. Datu-taldeak tresna bat erabili zuen beste taldeen tresnek baino estaldura desberdina zuena. Aurkitu eta itxi behar zen hutsune bat.

Estaldura bateratuak hori konpontzen du. Entitate-mota berak testuinguru guztietan detektatzen dira. Hutsuneak ikusgarri bihurtzen dira, X entitatearen zero detekzio lan-fluxu guztiak, ezkutuan egon beharrean.

Ikusi GDPR 32. artikulua eta AI Tresna Monitorizazioa auditoreak kontrol teknikoen zeri begiratzen dioten jakiteko.

Betetze-erantzun garbi baten itxura

Plataforma bateratua duen betetze-arduraduna modu desberdinean erantzuten du.

"PII detekzio plataforma bakarra erabiltzen dugu lan-fluxu guztietan. Abokatuek, laguntza-agenteak eta datu-ingeniariek detekzio-motor bera erabiltzen dute. Interfazeak desberdinak dira, Word Gehigarria, Chrome Luzapena, Desktop Aplikazioa, baina modeloa eta konfigurazioa berdinak dira. Prozesamendu guztia auditoria-pista zentral batera egiten da erregistroa. Gure konfigurazioak 285+ entitate-mota estaltzen ditu jurisdikzio-egokiko aurrezehaztapenekin. Behar duzun aldi bakoitza atera dezaket."

Erantzun hau da:

  • Zehatza. Plataforma izendatzen du eta plataforma anitzeko konfigurazioa azaltzen du.
  • Koherentea. "Detekzio-motor bera" estaldura-kezka zuzenean heltzen da.
  • Frogagarria. Auditoria-pista zentral batek froga eskaerari berehala erantzuteko prest dagoela esan nahi du.

Ikerlariak datu-pertsonaren auditoria-pistaren eskaera egiten duenean, eskaerari berehala erantzuten zaio.

Plataforma arteko koherentzia estandarra

  1. artikuluaren postura sendo baterako, hauek dira gutxieneko eskakizunak.

Detekzio koherentzia:

  1. Detekzio-modelo edo API bera plataforma guztietan
  2. Entitate-mota estaldura bera: web aplikazioak 285 entitate egiaztatzen baditu, desktop aplikazioak ere egin behar du
  3. Konfiantza-atalase berak: ez da tresnarik entitate-mota berdin baterako erlaxatuago edo zurrunago
  4. Ordezkapen-token berak entitate-mota berdinetarako
  5. Auditoria-pista zentral bat plataforma guztietan

Dokumentazio eskakizunak:

  • Konfigurazio-argazkia: uneko entitate-estaldura eta atalaseak
  • Aldaketen historia: zer aldatu zen eta noiz
  • Estaldura-froga: plataforma guztiek konfigurazio bera partekatzen dute

Hori eraiki daiteke tresna anitzeko pilaerako. Baina konfigurazio-kudeaketa formalak eta tresna arteko auditoria erregularrak behar ditu. Plataforma bakarrak erantzuna sinplea egiten du: "Hemen dago konfigurazioa. Edonon aplikatzen da. Hemen dago auditoria-pista."

Plataforma arteko koherentziari buruzko ikuspegi osoagoa lortzeko, ikusi Plataforma arteko PII betetzea: Mac, Linux, Windows.

Trantsizioa praktikan: zatitutakotik bateratara

1. urratsa: mapeatu tresnak eta estaldura

  • Zerrendatu tresna bakoitza taldearen eta lan-fluxuaren arabera
  • Dokumentatu zein PII mota detektatzen dituen tresna bakoitzak
  • Aurkitu hutsuneak: zer detektatzen du A tresnak B tresnak galtzen duena?

2. urratsa: definitu estaldura estandarra

  • Zure betebeharren arabera: GDPR entitate-motak, HIPAA PHI, CCPA kategoriak
  • Ezarri estandar bakarra lan-fluxu guztietan aplikatzen dena

3. urratsa: aukeratu plataforma bateratua

  • Web, desktop, Word eta arakatzailean deploy daiteke?
  • Zure estaldura estandarra betetzen du?
  • Auditoria-pista zentralizatua eskaintzen du?

4. urratsa: migratu

  • Hasi arrisku handieneko lan-fluxuekin
  • Joan taldetik taldera eta utzi tresna legezkoak erabiltzaileek migratzen duten heinean
  • Erregistratu migrazioa zure betetze-erregistroan

Tresna zatiketa auditorietan aurkitzen den GDPR kontrol-hutsune ohikoenetako bat da. Banatutako taldeetan nola agertzen den ikusteko, ikusi Urruneko lana eta GDPR: Plataform Inkoherentzia.

Iturriak

Lotutako Artikuluak

GDPR & Betetze

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Betetze

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Betetze

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prest zure datuak babesteko?

Hasi PII anonimizatzen 285+ entitate mota 48 hizkuntzatan.

Hasi Probako BertsioaIkusi Ezaugarriak

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.