anonym.legal

By · Last updated 2026-06-05

Atpakaļ uz BloguAI Drošība

VDAR 32. pants: AI rīku PII uzraudzība

Uzņēmumu atbilstības komandām nepieciešami kvantitatīvi pierādījumi par AI rīku PII kontrolēm. Tīkla DLP palaida garām pārlūkprogrammu AI mijiedarbības.

June 5, 20267 min lasīšanai
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

VDAR 32. panta atbilstības pierādīšana AI rīkiem

Atjaunots 2026. gadam.

VDAR 32. pants prasa "atbilstošus tehniskos un organizatoriskos pasākumus" personas datu aizsardzībai. Kad darbinieki izmanto ārējos AI rīkus - ChatGPT, Claude, Gemini - risks ir reāls un izmērāms. Kontrolēm arī jābūt izmērāmām.

Politika, kas saka "nedeliet personas datus ar AI rīkiem", ir organizatorisks pasākums. Tā nav tehnisks pasākums. Tā nav pietiekama, kad DPA revidents jautā: "Kā jūs zināt, ka darbinieki to ievēro?"

Ko DPA revidenti jautā par AI rīkiem

Pēc Samsung ChatGPT pārkāpuma 2023. gada martā regulatori rūpīgi pārbaudīja uzņēmumu AI programmas. DPA revidenti tagad uzdod tiešus jautājumus.

Par tehniskajām kontrolēm viņi jautā:

  • Kas neļauj personas datiem sasniegt AI sistēmas?
  • Kā jūs panākat maskēšanu reāllaikā?
  • Kādi pierādījumi rāda, ka kontroles darbojas?

Par uzraudzību viņi jautā:

  • Kā jūs izsekojat darbinieku AI izmantošanu PII iedarbībai?
  • Kādus rādītājus jūs apkopojat? Cik bieži?
  • Kā jūs zināt, ka kontroles netiek apietas?

Par incidentu atklāšanu viņi jautā:

  • Kā jūs pamanītu PII noplūdi AI rīkam?
  • Kāds ir jūsu reaģēšanas plāns?

Politikas dokumenti neatbild ne uz vienu no šiem jautājumiem. Tie saka, ko darbiniekiem vajadzētu darīt. Tie nerāda, ko darbinieki faktiski dara.

Uzraudzības nepilnība pārlūkprogrammu AI rīkiem

Uzņēmumu IT komandas saskaras ar galveno problēmu: pārlūkprogrammas AI rīkus ir grūti uzraudzīt.

HTTPS šifrēšana

ChatGPT, Claude un Gemini izmanto HTTPS ar HSTS. Tīkla inspekcija nevar nolasīt uzvednes tekstu bez TLS atšifrēšanas.

TLS inspekcija

SSL inspekcija prasa uzņēmuma sertifikātus katrā ierīcē. Tā var pārtraukt sertifikātu piespraudšanu dažās lietotnēs. Tā rada jaunas drošības nepilnības. Tā var pārkāpt AI platformu pakalpojumu sniegšanas noteikumus. Tā rada darbinieku privātuma jautājumus daudzās valstīs.

Galapunkta DLP

Galapunkta aģenti uzrauga starpliktuves un taustiņsitienu ievadi. Taču tiem ir augsts viltus pozitīvo rādītājs. Tie nevar atšķirt "klienta datu ievadīšanu līgumā" no "to ievadīšanas ChatGPT". Aizkavēšanās var palaist garām tiešraides nosūtīšanu.

Rezultāts: lielākajai daļai uzņēmumu, kas izmanto AI rīkus, ir maz pārskatāmības par to, kādi dati sasniedz šīs sistēmas.

Atbilstības informācijas panelis praksē

Finanšu pakalpojumu CISO ir jārāda revidentiem, ka AI rīku PII iedarbība tiek izsekota un kontrolēta. Revīzijas prasība: konkrēti dati par aktīvo uzraudzību.

Uzņēmums izvietoja Chrome paplašinājumu 500 darbiniekiem. Vienas nedēļas izvade:

RādītājsNedēļas vērtība
Kopējās AI sesijas8 400
Atklātās PII entītijas12 000
Maskēšanas likme94%
Atrasti klientu vārdi4 800
Atrasti konta numuri3 200
Atrasti darījumu ID2 100
Nemaskētas nosūtīšanas (6%)720 entītijas

Piezīme: ilustratīvs scenārijs. Rezultāti atšķiras atkarībā no uzņēmuma lieluma un AI izmantošanas.

Četras lietas, ko tas rāda revidentiem:

  • AI rīku izmantošanas apjoms (8 400 sesijas nedēļā)
  • PII risks (atrastas 12 000 entītijas)
  • Kontroles veiktspēja (94% maskēšanas likme)
  • Atlikušais risks (720 entītijām nepieciešams turpmāks darbs)

Trīs lietas, ko revidenti var pārbaudīt:

  • Tehniskā kontrole darbojas (paplašinājuma izvietošanas žurnāli)
  • Uzraudzība ir aktīva (iknedēļas pārskati)
  • Atlikušais risks tiek pārvaldīts (turpmākā apmācība 6% gadījumiem)

Tā ir atšķirība starp "mums ir politika" un "šeit ir mūsu izmērītās kontroles izvade".

Izvades pārvēršana uzlabojumos

6%, kas nosūtīti bez maskēšanas, nav neveiksme. Tā ir uzraudzības panākums. Uzņēmums tagad zina:

  1. Kuri darbinieki atceļ maskēšanas uzaicinājumus vai tos palaiž garām.
  2. Kuri entītiju tipi visbiežāk tiek nosūtīti nemaskēti.
  3. Kurām komandām ir augstāki apiešanas rādītāji.
  4. Vai rādītājs samazinās, darbinieki pielāgojoties.

Tas virza mērķtiecīgu rīcību. Darbinieki ar augstu apiešanas rādītāju saņem papildu apmācību. Entītiju tipi ar augstu apiešanas rādītāju var prasīt stiprākus uzaicinājumus. Komandas ar atkārtotām apiešanām var prasīt darbplūsmas izmaiņas.

Bez šīs izvades apmācība tiek piemērota vienmērīgi. Ar to apmācība nonāk tur, kur risks ir vislielākais.

Kā izskatās pilns 32. panta dokumentu komplekts

Pilns VDAR 32. panta dokumentu komplekts AI rīku programmai:

Tehniskie pasākumi:

  1. Chrome paplašinājums uz N ierīcēm (pierādījums: MDM žurnāli)
  2. Tiešraides PII atklāšana AI rīku ievades laukos
  3. Maskēšanas darbplūsma ar audita taku (paplašinājuma žurnāli)
  4. Atbilstības informācijas panelis (atklāšanas rādītāji)

Organizatoriskie pasākumi:

  1. AI rīku izmantošanas politika
  2. Darbinieku apmācības ieraksti
  3. Incidentu reaģēšanas plāns AI datu noplūdēm
  4. Ceturkšņa uzraudzības izvades pārskatīšana

Uzraudzības pierādījumi:

  1. Iknedēļas informācijas paneļa rādītāji (aplīdzamie 12 mēneši)
  2. Maskēšanas likmes tendence
  3. Entītiju tipu sadalījums
  4. Turpmākie ieraksti par apiešanām

Incidentu atklāšana:

  1. Uzraudzības izvade atzīmē neparastu uzvedību (pēkšņs likmes kritums, jauni entītiju tipi)
  2. Incidentu reaģēšanas plāns pārbaudīts [datumā]

Šis komplekts atbilst 32. pantam. Tas rāda tehniskos un organizatoriskos pasākumus ar reāliem pierādījumiem.

Riska samazinājuma kvantitatīvā novērtēšana

Proporcionāluma pārbaudei jums jāparāda risks, ko kontrole novērš.

Bez kontroles:

  • 11% AI uzvedņu satur PII (Cyberhaven 2025)
  • 8 400 nedēļas sesijas x 11% = 924 sesijas ar PII nedēļā
  • Katra sesija: potenciāls VDAR 83. panta iedarbības gadījums, ja iesaistīti ES dati

Ar kontroli (94% maskēšanas likme):

  • 924 sesijas ar atklātu PII
  • 94% maskētas: 869 sesijas aizsargātas
  • Atlikušais: 55 sesijas nedēļā ar nemaskētu saturu

Rezultāts: 94% PII iedarbības samazinājums no AI rīku izmantošanas.

Regulatoriem, kas piemēro proporcionāluma pārbaudi, 94% samazinājums no izvietotas tehniskās kontroles ir spēcīgs pierādījums. Skatiet arī reāllaika PII novēršanu AI rīkiem un pārlūkprogrammas DLP ChatGPT, Claude un Gemini.

Secinājums

VDAR 32. panta atbilstība AI rīkiem nevar balstīties tikai uz politiku. Pārlūkprogrammu AI sesiju uzraudzībai PII iedarbībai nepieciešama tehniskā kontrole, kas rada pierādījumus.

Tiešraides maskēšana ar iebūvētu uzraudzību sniedz abus: novēršanu (mazāka iedarbība) un pierādījumus (izmērīts risks un kontroles izvade). Šī kombinācija atbilst 32. pantam.

CISO, kas saskaras ar DPA revīziju: revidenti vēlas konkrētus datus. Rādiet atklāšanas likmes, maskēšanas likmes un atlikušā riska tendences. Politika ir sākums. Uzraudzības izvade ir pierādījums.

Lai uzzinātu, kā bloķēšana salīdzinās ar maskēšanu kā kontroli, skatiet Pārlūkprogrammas DLP: Bloķēšana pret anonimizāciju.

Avoti

Saistītie Raksti

AI Drošība

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Drošība

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Drošība

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Vai esat gatavi aizsargāt savus datus?

Sāciet PII anonimizāciju ar 285+ entitāšu veidiem 48 valodās.

Sākt Bezmaksas IzmēģinājumuSkatīt Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.