TAJ-számon túl: szervezete belső azonosítóinak anonymizálása
A GDPR-eszköze eltávolítja az e-mail-címeket. Eltávolítja a telefonszámokat. Eltávolítja a neveket. Átfuttatja rajta a support-exportokat. Majd megosztja a kimenetet az analitikai csapatával.
Az ügyfél-számlaszámai még mindig megvannak minden jegyben. A rendelésazonosítók is. A belső felhasználói azonosítók is.
Ezek az azonosítók önmagukban ártalmatlannak tűnnek. Keresési táblázat nélkül nem neveznek meg senkit. De az analitikai csapatának megvan az a táblázat. A CRM-jének megvan. A support-adatbázisnak megvan. Hozzáféréssel rendelkező bárki másodpercek alatt megtalálja az érintett személyt.
Ez GDPR-jogsértés. Az eszköz nem hibásodott meg. Csak soha nem mondták meg neki, hogy keresse az Ön azonosítóit.
Mit észlel a szabványos PII-eszköz?
A szabványos PII-eszközök általános formátumokat fednek le. Azokat kapják el, amelyeket minden szervezet használ.
A szabványos eszközök észlelik:
- Társadalombiztosítási számok (USA TAJ, UK NINO, EU nemzeti azonosítók)
- E-mail-címek
- Telefonszámok
- Bankkártyaszámok
- Nevek
- Útlevél- és jogosítványszámok
A szabványos eszközök nem észlelik:
- Munkavállalói azonosítókat EMP-XXXXX formátumban
- Ügyfél-számlaszámokat ACC-XXXXXXXX-XX formátumban
- Rendelésazonosítókat ORD-XXXXXXX formátumban
- Belső felhasználói azonosítókat UUID- vagy egyéni formátumban
- Partnerspecifikus hivatkozási kódokat
A szabványos eszközök általános mintákat találnak meg. Az Ön belső azonosítói nem általánosak. Megtalálásukhoz egyéni beállítás szükséges.
Az újraazonosítási kockázat
Egy vállalat minőség-ellenőrzési célra exportálja a support-jegyeket. A szabványos PII-eltávolítás kiszűri a neveket, e-mail-címeket és telefonszámokat. Az ACC-XXXXXXXX-XX formátumú számlaszámokat nem érinti.
Az export az analitikai csapathoz kerül. Egy elemző a jegytáblát összekapcsolja az ügyfél-adatbázissal számlaszám alapján. Az érintett személy azonnal megtalálható. Nem kell különleges trükk. Ez rutinszerű SQL-összekapcsolás.
A GDPR 4. cikk (5) bekezdése a pszeudoanonymizálást olyan adatkezelésként határozza meg, amelynél az adat „nem rendelhető hozzá egy konkrét érintetthez anélkül, hogy kiegészítő információkat ne vegyenek igénybe”. A számlaszámok nem teljesítik ezt a követelményt. A kiegészítő információ — az ügyfél-adatbázis — ott van a szervezetén belül.
Az „anonymizált” export nem volt anonim.
Egyéni entitásminták összeállítása
Az egyéni entitás beállítása gyors. A megfelelőségi csapatok mérnöki segítség nélkül elvégzik.
1. lépés: Sorolja fel az azonosítóformátumokat.
Jegyezze fel mindegyiket. Például: számla ACC-XXXXXXXX-XX, rendelésazonosító ORD-XXXXXXX, munkavállalói azonosító EMP-XXXXX.
2. lépés: Írja le a formátumot közérthetően.
„A számlaszámok ACC-cal kezdődnek, majd kötőjel, majd 8 jegy, majd kötőjel, majd 2 nagybetű.”
MI-asszisztált mintafeltárás visszaadja: ACC-\d{8}-[A-Z]{2}
3. lépés: Tesztelje mintaadatokon.
Töltsön fel 20–30 dokumentumot. Erősítse meg, hogy minden példányt megtalál. Erősítse meg, hogy nem keletkeznek téves találatok.
4. lépés: Válasszon módszert.
Azon azonosítóknál, amelyeket join-kulcsként használnak, és ahol az elemzésnek össze kell kapcsolnia a rekordokat:
- Pszeudoanonymizálás. Az ACC-00123456-AB helyébe minden alkalommal ACC-99876543-XY lép. Ugyanaz a bemenet mindig ugyanazt a kimenetet adja. A joinok továbbra is működnek. Az eredeti értéket nem lehet megtalálni a kulcs nélkül.
Azon azonosítóknál, amelyekre nincs szükség az elemzésben:
- Redakció. Helyettesítse [REDACTED] értékkel. Egyszerű. Végleges.
5. lépés: Mentse el megosztott beállításként.
Mentse el az egyéni entitást — vagy egy készletet — egy megosztott beállításba. A beállítás minden felhasználási módra vonatkozik: kötegelt feltöltések, API-hívások, böngészős felület. Az új csapattagok azonnal megkapják a teljes konfigurációt.
Esettanulmány: 180 000 support-jegy
Egy vállalat 180 000 support-jegyet talált az analitikai adattárházában. A neveket és e-mail-címeket eltávolították. A számlaszámokat nem. Minden jegy még tartalmazott egy élő ACC-XXXXXXXX-XX értéket.
Megoldás idővonala:
- A megfelelőségi tisztviselő meghatározza az ACC-mintát — 15 perc
- Teszteli 30 minta-jegyen — 20 perc
- Megerősíti a pontosságot — 10 perc
- Az éjszakai kötegben feldolgozza a 180 000 jegyet
- Kicseréli az adattárháztáblákat a tiszta verziókkal
A megfelelőségi tisztviselő teljes ideje: 45 perc. Egyéni entitástámogatás nélkül a javítás mérnöki jegyet, kódellenőrzést és üzembe helyezést igényelt volna. Ez heteket vesz igénybe, nem órákat.
A testreszabott azonosítók MI-support-eszközökben rejlő kockázatáról bővebben a GDPR és support MI útmutatóban olvashat.
Hol terjednek szét az egyéni azonosítók?
A belső azonosítók a legtöbb csapat várakozásánál több helyen jelennek meg.
Belső dokumentumok:
- Számlára vagy rendelésazonosítóra hivatkozó megbeszélési feljegyzések
- Ügyfélügyekről szóló e-mail-szálak
- Esettanulmány-adatokat tartalmazó prezentációk
Harmadik feleknek átadva:
- Ügyszám-hivatkozásokat tartalmazó hatósági jelentések
- Ügyfélhivatkozásokat tartalmazó auditfájlok
- Ügyfél-azonosítókat tartalmazó szállítói fájlok
Kutatás és analitika:
- Ügyfélút-adatkészletek
- Support-minőség-ellenőrzési exportok
- Belső ML-modellek tanítóadatai
Minden kontextus ugyanolyan egyéni entitásbeállítást igényel a valóban anonim kimenet előállításához.
Pszeudoanonymizálás és anonymizálás
A GDPR egyértelmű határt húz.
A pszeudoanonymizálás azonosítókat helyettesítőkkel cseréli le. Az eredeti személyt meg lehet találni, ha valakinek megvan a keresési táblázat. Ezek az adatok még mindig személyes adatok. Csökkenti a kockázatot. Nem szünteti meg a GDPR szerinti kötelezettségeit.
Az anonymizálás megszünteti az újraazonosítás lehetőségét. Az anonim adat nem személyes adat. A GDPR nem vonatkozik rá.
A számlaszámok és rendelésazonosítók pszeudoanonimak, ha keresési táblázatok léteznek. A rögzített helyettesítőkre való cserélésük csökkenti a kockázatot, de a GDPR továbbra is érvényes. Véletlenszerű tokenekre való cserélésük — és a kulcs törlése — megszünteti a GDPR-kötelezettséget, de lerontja a join-alapú elemzést.
Azon harmadik felekkel való megosztásnál, akiknek nincs keresési táblázatuk: a pszeudoanonymizálás elegendő lehet. Belső analitikánál teljes anonymizálásra vagy szigorú hozzáférés-ellenőrzésre van szükség. A jogi megfelelőségi útmutató részletezi, hogyan dokumentálhatja az egyes megközelítéseket az adatkezelési tevékenységek nyilvántartásához.
Összefoglalás
A hiányosság nem eszközhiba. Beállítási hiányosság. Egyetlen eszköz sem ismerheti a számlaszám-formátumát, ha nem mondja meg neki.
Az egyéni entitásbeállítás órákon belül zárja be a hiányosságot. A megfelelőségi csapatok meghatározzák a formátumokat, tesztelik mintaadatokon, és alkalmazzák azokat minden felhasználási módban. Nincs szükség mérnöki segítségre.
A 180 000 maszkolatlan számlaszám nem azért volt ott, mert az eszköz meghibásodott. Azért volt ott, mert az eszköznek soha nem mondták meg, hogy keresse őket.