Taulukon vaatimustenmukaisuuden aukko
PDF:n punastusvälineet eivät käsittele Excel-taulukoita. Tämä yksinkertainen fakta luo järjestelmällisen vaatimustenmukaisuuden aukon organisaatioille, jotka tallentavat henkilötietoja Excel-muodossa — mikä yritysympäristöissä tarkoittaa lähes jokaista HR-osastoa, taloustiimiä ja operatiivista osastoa.
EDPB:n vuosiraportin tiedot osoittavat, että GDPR:n pääsyoikeuspyynnöt kasvoivat 180 % vuosina 2021–2024. Organisaatioiden, jotka saavat DSAR:ita, on toimitettava pyytäjän henkilötiedot siirrettävässä muodossa samalla varmistaen, että kolmansien osapuolten tiedot, jotka sisältyvät samaan tietojoukkoon, on asianmukaisesti suojattu. Työntekijätietojoukon, joka on tallennettu Exceliin, standardivastaus — tiettyjen rivien vienti — altistaa silti muiden työntekijöiden tiedot samassa tiedostossa. Oikea DSAR-vaatimustenmukaisuus edellyttää jokaisen tietueen anonymisointia ei-pyytäjän tiedoista.
Keskimääräinen DSAR:n käsittely vie 12 tuntia manuaalisesti. Organisaatiolle, joka saa 200 DSAR:ia kuukaudessa — kohtuullinen määrä keskikokoiselle yritykselle — tämä tarkoittaa 2 400 työtuntia kuukausittain vaatimustenmukaisuuden hallinnassa. Manuaalinen lähestymistapa ei skaalaudu EDPB:n tietojen ennustamaan pyyntöjen määrään tämän vuosikymmenen loppua kohti.
Mitä Excelin anonymisointi todella vaatii
Taulukon anonymisointi tuo haasteita, joita PDF:n punastusvälineet eivät ole suunniteltu käsittelemään.
Piilotetut rivit ja sarakkeet: Excel-tiedostot sisältävät yleisesti piilotettuja rivejä (luonnostelutiedot, suodatetut tiedot) ja piilotettuja sarakkeita (välitulokset, alkuperäiset arvot ennen muuntamista). Punastusväline, joka käsittelee vain näkyviä soluja, jättää piilotetut PII:t ehjiksi. Vaatimustenmukaisuustason Excel-anonymisoijan on käsiteltävä kaikkia taulukoita, mukaan lukien piilotetut.
Upotetut kaavat: Solut, jotka sisältävät kaavoja, jotka viittaavat PII:hin muissa soluissa, voivat näyttää johdettuja arvoja, kun taas kaava itsessään viittaa alkuperäisiin tietoihin. Näyttöarvon anonymisointi ilman kaavan viittauksen päivittämistä jättää alkuperäisen PII:n kenen tahansa tarkastettavaksi, joka tutkii kaavaa.
Pivot-taulukon välimuisti: Excelin pivot-taulukot välimuistivat taustatiedot, joita käytetään pivotin luomiseen. Lähdetietotaulukon anonymisointi ei automaattisesti tyhjennä pivot-välimuistia. Vastustava käyttäjä, joka saa "anonymisoidun" Excel-tiedoston, voi tarkastella pivot-välimuistia palauttaakseen alkuperäiset tiedot.
Ristiviittaukset taulukoiden välillä: Yritys-Excel-tiedostot sisältävät säännöllisesti ristiviittauksia solujen välillä. Työntekijän nimi voi näkyä Taulukossa 1 ja olla viitattuna laskelmissa Taulukossa 3. Taulukon 1 anonymisointi ilman Taulukon 3 viittausten päivittämistä jättää viittauksen anonymisoituihin tietoihin, joka voi paljastaa alkuperäisen arvon kaavan tarkastelun kautta.
HR-osaston käyttötapaus
Saksalaisen valmistusyrityksen on jaettava 50 000 työntekijätietoa ulkoisen palkkakonsultin kanssa vertailuprojektia varten. GDPR:n artikla 28 vaatii, että henkilötietojen jakaminen käsittelijälle (ulkoinen konsultti) sisältää asianmukaiset tekniset kontrollit. Excel-tiedosto sisältää 37 saraketta, mukaan lukien nimet, henkilökohtaiset sähköpostiosoitteet, kotiosoitteet, palkat, suoritusarvioinnit ja sairauslomatiedot.
50 000 rivin manuaalinen anonymisointi 37 sarakkeessa ei ole mahdollista missään vaatimustenmukaisuusajassa. Word- ja Excel-lisäosa käsittelee taulukkoa natiivisti — Microsoft Excelissä, ilman vientiä tai muuntamista. Solutason PII-tunnistus tunnistaa henkilötiedot kaikilta näkyviltä ja piilotetuilta taulukoilta. Nimet korvataan salanimillä; osoitteet tyypin mukaan sopivilla paikkamerkeillä; palkat säilytetään (eivät PII) samalla kun siihen liittyvät henkilökohtaiset tunnisteet poistetaan. Anonymisointi käsittelee 50 000 riviä minuuteissa sen sijaan, että se kestäisi päiviä.
Per-yksikkökonfiguraatio mahdollistaa eri käsittelyn eri tietotyypeille: nimet korvataan johdonmukaisilla salanimillä (sama nimi eri soluissa saa saman salanimen, säilyttäen analyyttisen hyödyn); SSN:t korvataan naamioiduilla merkkijonoilla; osoitteet korvataan vain kaupungin arvioilla; henkilökohtaiset sähköpostiosoitteet korvataan rooliin perustuvilla paikkamerkeillä.
Lähteet: