anonym.legal

By · Last updated 2026-06-05

חזרה לבלוגGDPR ועמידה

פרגמנטציית כלי PII גורמת לכישלון ביקורות תאימות

ארבעה כלים שונים לארבעה תהליכי עבודה שונים אומרים ארבע קבוצות כיסוי ישויות שונות וארבעה שבילי ביקורת שונים.

June 5, 20267 דקות קריאה
compliance audittool fragmentationISO 27001GDPR controlsPII tools

מה בוחני ביקורת שואלים על בקרות PII

בוחני ביקורת GDPR ו-ISO 27001 שואלים שאלה סטנדרטית. "אילו בקרות יש לכם לאנונימיזציית PII?"

הם רוצים תשובה ברורה אחת. בקרה אחת. מיושמת באותו אופן בכל פעם. עם תיעוד והוכחה.

התשובה המסוכנת נשמעת כך: "זה תלוי בהקשר. Chrome Extension לגלישה ברשת. מאקרו Word למסמכים משפטיים. סקריפט Python לקבצי אצווה. אפליקציית הרשת לבקשות דחופות."

תשובה זו מפעילה שאלות המשך. "מהם פערי הכיסוי בין כלים אלה? היכן שביל הביקורת?"

כלים מפורגמנטים לא יכולים לענות על שאלות אלה. זו בעיית התאימות.

בעיית עקביות הכיסוי

כלי PII שונים משתמשים בשיטות זיהוי שונות. תוצאותיהם שונות — לפעמים הרבה.

כלים מבוססי Regex בלבד מחפשים דפוסים קבועים. פורמט SSN. פורמט אימייל. פורמט כרטיס אשראי. הם מחמיצים ישויות מבוססות NER. שמות אנשים ופורמטים שאינם אמריקניים אינם מזוהים.

כלים מבוססי NER בלבד מזהים סוגי ישויות באמצעות מודלים מאומנים. הם מחמיצים ישויות מבוססות דפוס. IBAN ומזהים מותאמים אישית נופלים אם הם אינם בנתוני האימון.

לכל כלי כיסוי ישויות שונה. לכל כלי ספי ביטחון שונים. אותו מסמך דרך כלי A וכלי C עשוי לייצר תוצאות שונות.

זה יוצר פער תאימות ישיר. כלי A משמש ל-PDF. כלי B משמש ל-Excel. כלי A מזהה תאריכי לידה. כלי B לא. תאריך הלידה של אותו אדם מאונונם ב-PDF אך חשוף בקבצי Excel.

הפער תלוי בפורמט קובץ — לא במדיניות. לא בכוונה.

חוקרי DPA יכולים למצוא פער זה בחקירת הפרות. אי-עקביות כלים הופכת לגורם בחשיפה. סעיף 32 של GDPR דורש אמצעים טכניים שיטתיים.

בעיית שביל הביקורת

תאימות דורשת ראיות לשימוש עקבי בבקרה. לאנונימיזציית PII, ראיה זו היא שביל הביקורת.

ארבעה כלים מייצרים ארבעה פורמטי יומן שונים. חלקם אינם מייצרים כל יומן.

מאקרו Word לא יוצר רשומת ביקורת. סקריפט Python עשוי לכתוב לקובץ מקומי. קובץ זה אינו מקושר למערכת התאימות שלכם. Chrome Extension עשוי לכתוב יומנים בצד הדפדפן. אותם יומנים אינם נגישים לבדיקת תאימות.

כאשר חקירת DPA מבקשת ראיות ביקורת, תשובה אחת עובדת. זהו יומן מרוכז. הוא מכסה את כל עיבוד האנונימיזציה בכל הפלטפורמות.

התשובה האחרת לא עובדת. יומנים במחשב המקומי של המפתח ממאקרו Word אינם מספיקים.

עיבוד בפלטפורמה אחת הופך שביל ביקורת אחד לאפשרי. כלים מפורגמנטים הופכים זאת לבלתי אפשרי.

לפרטים על דרישות שביל ביקורת, ראו עריכה מוסברת ושבילי ביקורת של HIPAA.

בעיית סחף התצורה

עם הזמן, כלים שונים מפתחים תצורות שונות. זה קורה לאט וללא אזהרה.

שקלו תבנית נפוצה. ה-Chrome Extension מתעדכן עם סוגי ישויות מותאמים אישית. סקריפט ה-Python אינו מתעדכן. מאקרו ה-Word הוגדר על ידי חבר צוות שמאז עזב. אף אחד אינו יודע את ההגדרות הנוכחיות. הגדרת ה-preset של אפליקציית הרשת משתנה לאי-הכללת שמות קבלנים. שינוי זה לעולם אינו מגיע לכלים האחרים.

עדכון כלי אחד מבלי לעדכן את האחרים גורם לסחף. עם הזמן, סחף גורם לפערים.

בוחני ISO 27001 מבקשים תיעוד תצורה. "יש לנו ארבעה כלים, ארבע תצורות, ואיננו בטוחים שהן עדכניות" אינה תשובה טובה. ISO/IEC 27001:2022 נספח א' 8.11 (מיסוך נתונים) דורש בקרות מתועדות ועקביות; ISO/IEC 27001:2022.

ממצא ISO 27001 בפועל

חברת תאימות של 15 עובדים השתמשה בארבעה כלים. גרדן רשת לנתונים מקוונים. כלי שולחן עבודה Windows לקבצי אצווה. מאקרו Word למסמכים משפטיים. Chrome Extension לכלי AI.

ביקורת ISO 27001 הניבה ממצא. תוצאות זיהוי שונות בין פלטפורמות. אין שביל ביקורת מרוכז. פער בנספח א' 8.11. הבקרה לא הוצגה כמיושמת באופן עקבי. ממצא זה תאם דפוסים מתועדים של אי-התאמה ל-ISO 27001 נספח א' 8.11.

הממצא דרש תוכנית פעולה מתקנת. הפעולה המתקנת הייתה איחוד פלטפורמות.

לאחר האיחוד, לחברה היה מנוע זיהוי אחד על פני כל ארבע הפלטפורמות. אותם presets יושמו בכל הקשר. כל העיבוד תועד במקום אחד. ממצא ה-ISO 27001 נסגר בביקורת הבאה.

הפרויקט ארך שישה שבועות. הוא החליף תגובת פעולה מתקנת של 12 עמודים בממצא סגור.

למידע נוסף על האופן בו אנונימיזציה עקבית תומכת בנכונות ביקורת GDPR, ראו עקביות אנונימיזציה, presets וביקורות GDPR.

מבחן הנרטיב של התאימות

האם אתם יכולים לענות על ארבע השאלות הללו ללא היסוס?

  1. אילו סוגי ישויות מזוהים על פני כל פלטפורמה שהצוות שלכם משתמש בה?
  2. מהו סף הזיהוי לכל סוג ישות, באופן עקבי בכל הפלטפורמות?
  3. היכן שביל הביקורת המרוכז לכל האנונימיזציה ב-12 החודשים האחרונים?
  4. כיצד אתם מבטיחים שינויי תצורה מיושמים על פני כל הפלטפורמות?

אם שאלה כלשהי גורמת להיסוס, פרגמנטציה יוצרת סיכון תאימות.

התשובה הנקייה לכל ארבע השאלות ניתנת להשגה. היא דורשת מנוע אחד על פני כל הפלטפורמות. ללא זה, כל כלי יוצר את פער הכיסוי שלו. את שקע שביל הביקורת שלו. את סחף התצורה שלו.

בוחני ביקורת מבחינים בפערים אלה. חוקרי DPA יכולים לנצל אותם. איחוד לפני ממצא ביקורת קל בהרבה מאשר לאחריו.

למידע נוסף על האופן בו פרגמנטציית כלים משפיעה על בקרות GDPR חוצות פלטפורמות, ראו ביקורת GDPR ופרגמנטציית כלי PII על פני פלטפורמות.

מקורות

מאמרים קשורים

GDPR ועמידה

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR ועמידה

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR ועמידה

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

מוכן להגן על הנתונים שלך?

התחל לאנונימיזציה של PII עם 285+ סוגי ישויות ב-48 שפות.

התחל ניסיון חינםצפה בתכונות

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.