anonym.legal

By · Last updated 2026-06-06

Atpakaļ uz BloguGDPR un Atbilstība

PII rīku sadrumstalotība izraisa atbilstības audita neveiksmes

Četri dažādi rīki četrām dažādām darbplūsmām nozīmē četras dažādas entītiju pārklājuma kopas un četrus dažādus audita ceļus.

June 6, 20267 min lasīšanai
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Ko auditori jautā par PII kontrolēm

GDPR un ISO 27001 auditori uzdod standarta jautājumu. "Kādas kontroles jums ir PII anonimizācijai?"

Viņi vēlas vienu skaidru atbildi. Vienu kontroli. Piemērot vienādi katru reizi. Ar dokumentāciju un pierādījumiem.

Riskantā atbilde izklausās šādi: "Tas ir atkarīgs no konteksta. Chrome paplašinājums tīmekļa pārlūkošanai. Word makro juridiskiem dokumentiem. Python skripts lielajiem failiem. Tīmekļa lietotne steidzamiem pieprasījumiem."

Šī atbilde aktivizē papildu jautājumus. "Kādas ir pārklājuma atšķirības starp šiem rīkiem? Kur ir audita ceļš?"

Sadrumstaloti rīki nevar atbildēt uz šiem jautājumiem. Tā ir atbilstības problēma.

Pārklājuma konsekvences problēma

Dažādi PII rīki izmanto dažādas noteikšanas metodes. Viņu rezultāti atšķiras — dažreiz ļoti.

Tikai regex rīki meklē fiksētus rakstus. SSN formāts. E-pasta formāts. Kredītkartes formāts. Tie palaiž garām NER bāzētas entītijas. Personu vārdi un ārpusamerikāņu formāti netiek atklāti.

Tikai NER rīki atklāj entītiju veidus, izmantojot apmācītus modeļus. Tie palaiž garām rakstbāzētas entītijas. IBAN un pielāgotie identifikatori izkrīt, ja tie nav apmācības datos.

Katram rīkam ir atšķirīgs entītiju pārklājums. Katram rīkam ir atšķirīgi ticamības sliekšņi. Tas pats dokuments caur Rīku A un Rīku C var radīt dažādus rezultātus. PĀRBAUDĪTS.

Tas rada tiešu atbilstības plaisu. Rīku A izmanto PDF failiem. Rīku B izmanto Excel. Rīks A atklāj dzimšanas datumus. Rīks B — ne. Tās pašas personas dzimšanas datums ir anonimizēts PDF failos, bet atklāts Excel failos.

Plaisa ir atkarīga no faila formāta — ne no politikas. Ne no nolūka.

DPA izmeklētāji var atrast šo plaisu pārkāpumu izmeklēšanā. Rīku neatbilstība kļūst par faktoru iedarbībā. PĀRBAUDĪTS — GDPR 32. pants prasa sistemātiskus tehniskos pasākumus.

Audita ceļa problēma

Atbilstība prasa pierādījumus par konsekventu kontroles lietošanu. PII anonimizācijai šis pierādījums ir audita ceļš.

Četri rīki ražo četrus dažādus žurnālu formātus. Daži neražo žurnālu vispār.

Word makro neizveido audita ierakstu. Python skripts var rakstīt lokālajā failā. Šis fails nav saistīts ar jūsu atbilstības sistēmu. Chrome paplašinājums var rakstīt pārlūkprogrammas puses žurnālus. Šie žurnāli nav pieejami atbilstības pārskatam.

Kad DPA izmeklēšana prasa audita pierādījumus, viena atbilde darbojas. Tā ir centralizēts žurnāls. Tas aptver visu anonimizācijas apstrādi visās platformās.

Cita atbilde nedarbojas. Žurnāli izstrādātāja lokālajā datorā no Word makro nav pietiekami.

Vienas platformas apstrāde padara vienu audita ceļu iespējamu. Sadrumstaloti rīki padara to neiespējamu.

Sīkāk par audita ceļa prasībām skatiet izskaidrojamu rediģēšanu un HIPAA audita ceļiem.

Konfigurācijas novirzes problēma

Laika gaitā dažādi rīki attīsta dažādas konfigurācijas. Tas notiek lēnām un bez brīdinājuma.

Apsveriet izplatītu modeli. Chrome paplašinājums tiek atjaunināts ar pielāgotiem entītiju veidiem. Python skripts netiek atjaunināts. Word makro tika iestatīts komandas loceklis, kurš kopš tā laika ir aizgājis. Neviens nezina pašreizējos iestatījumus. Tīmekļa lietotnes priekšiestatījums mainās, lai izslēgtu darbuzņēmēju vārdus. Šīs izmaiņas nekad nesasniedz citus rīkus.

Viena rīka atjaunināšana, neatjauninot citus, izraisa novirzi. Laika gaitā novirze rada plaisas.

ISO 27001 auditori prasa konfigurācijas dokumentāciju. "Mums ir četri rīki, četras konfigurācijas, un mēs neesam pārliecināti, vai tās ir aktuālas" nav laba atbilde. PĀRBAUDĪTS — ISO/IEC 27001:2022 A pielikums 8.11 (Datu maskēšana) prasa dokumentētas, konsekventas kontroles; ISO/IEC 27001:2022.

ISO 27001 konstatējums praksē

15 cilvēku atbilstības firma izmantoja četrus rīkus. Tīmekļa skrāpētājs tiešsaistes datiem. Windows darbvirsmas rīks lielajiem failiem. Word makro juridiskiem dokumentiem. Chrome paplašinājums AI rīkiem.

ISO 27001 audits radīja konstatējumu. Atšķirīgi noteikšanas rezultāti dažādās platformās. Nav centralizēta audita ceļa. Plaisa A pielikumā 8.11. Kontrole netika parādīta kā konsekventi piemērota. PĀRBAUDĪTS-ĀRĒJS — tas atbilst dokumentētajiem ISO 27001 A pielikuma 8.11 neatbilstības modeļiem.

Konstatējums prasīja korektīvu darbību plānu. Korektīvā darbība bija platformas konsolidācija.

Pēc konsolidācijas firmai bija viens noteikšanas dzinējs visās četrās platformās. Vieni un tie paši priekšiestatījumi tika piemēroti katrā kontekstā. Visa apstrāde tika reģistrēta vienuviet. ISO 27001 konstatējums tika slēgts nākamajā auditā.

Projekts aizņēma sešas nedēļas. Tas aizstāja 12 lappušu korektīvo darbību atbildi ar slēgtu konstatējumu.

Plašāk par to, kā konsekventa anonimizācija atbalsta GDPR audita gatavību, skatiet anonimizācijas konsekvenci, priekšiestatījumus un GDPR auditus.

Atbilstības naratīva tests

Vai varat atbildēt uz šiem četriem jautājumiem bez vilcināšanās?

  1. Kādi entītiju veidi tiek atklāti visās platformās, ko izmanto jūsu komanda?
  2. Kāds ir noteikšanas slieksnis katram entītiju veidam, konsekventi visās platformās?
  3. Kur atrodas centralizētais audita ceļš visai anonimizācijai pēdējos 12 mēnešos?
  4. Kā jūs nodrošināt, ka konfigurācijas izmaiņas tiek piemērotas visās platformās?

Ja kāds jautājums rada vilcināšanos, sadrumstalotība rada atbilstības risku.

Tīra atbilde uz visiem četriem jautājumiem ir sasniedzama. Tas prasa vienu dzinēju visās platformās. Bez tā katrs rīks rada savu pārklājuma plaisu. Savu audita ceļa silo. Savu konfigurācijas novirzi.

Auditori pamana šīs plaisas. DPA izmeklētāji var tās izmantot. Konsolidācija pirms audita konstatējuma ir daudz vieglāka nekā pēc tā.

Plašāk par to, kā rīku sadrumstalotība ietekmē starpplatformu GDPR kontroles, skatiet GDPR auditu un PII rīku sadrumstalotību dažādās platformās.

Avoti

Saistītie Raksti

GDPR un Atbilstība

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR un Atbilstība

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR un Atbilstība

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Vai esat gatavi aizsargāt savus datus?

Sāciet PII anonimizāciju ar 285+ entitāšu veidiem 48 valodās.

Sākt Bezmaksas IzmēģinājumuSkatīt Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.