anonym.legal

By · Last updated 2026-06-05

Назад на блоготGDPR & Усогласеност

Фрагментацијата на алатките за лични податоци не ги поминува ревизиите за усогласеност

Четири различни алатки за четири различни работни текови значи четири различни сетови на покриеност на ентитети и четири различни евиденциски траги.

June 5, 20267 мин читање
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Она што ревизорите го прашуваат за контролите на лични податоци

Ревизорите за GDPR и ISO 27001 поставуваат стандардно прашање. "Какви контроли имате за анонимизација на лични податоци?"

Тие сакаат еден јасен одговор. Една контрола. Применета на ист начин секој пат. Со документација и доказ.

Опасниот одговор звучи вака: "Зависи од контекстот. Chrome Extension за прелистување на интернет. Word макро за правни документи. Python скрипта за пакетни датотеки. Веб апликацијата за итни барања."

Тој одговор предизвикува дополнителни прашања. "Кои се јазовите во покриеноста помеѓу овие алатки? Каде е евиденциската трага?"

Фрагментираните алатки не можат да одговорат на тие прашања. Тоа е проблемот со усогласеноста.

Проблемот со конзистентноста на покриеноста

Различните алатки за лични податоци користат различни методи за откривање. Нивните резултати се разликуваат — понекогаш многу.

Алатки само со regex бараат фиксни шаблони. Формат на ЕМБГ. Формат на е-пошта. Формат на кредитна картичка. Ги пропуштаат ентитетите засновани на NER. Имињата на лица и форматите надвор од US не се откриваат.

Алатки само со NER ги детектираат типовите ентитети со помош на обучени модели. Ги пропуштаат ентитетите засновани на шаблони. IBAN и прилагодените идентификатори паѓаат ако не се во податоците за обука.

Секоја алатка има различна покриеност на ентитети. Секоја алатка има различни прагови на доверба. Истиот документ преку Алатка А и Алатка В може да произведе различни резултати. VERIFIED.

Ова создава директен јаз во усогласеноста. Алатка А се користи за PDF. Алатка Б се користи за Excel. Алатка А ги детектира датумите на раѓање. Алатка Б не. Датумот на раѓање на истата личност е анонимизиран во PDF но изложен во Excel датотеки.

Јазот зависи од форматот на датотеката — не од политиката. Не од намерата.

Истражителите на DPA можат да го пронајдат овој јаз во истрагата за прекршување. Неконзистентноста на алатките станува фактор во изложеноста. VERIFIED — GDPR член 32 бара систематски технички мерки.

Проблемот со евиденциската трага

Усогласеноста бара доказ за конзистентна употреба на контролата. За анонимизација на лични податоци, тој доказ е евиденциската трага.

Четири алатки произведуваат четири различни форматки на дневник. Некои воопшто не произведуваат дневник.

Word макрото не создава евиденциски запис. Python скриптата може да пишува во локална датотека. Таа датотека не е поврзана со вашиот систем за усогласеност. Chrome Extension може да пишува дневници на страната на прелистувачот. Тие дневници не се достапни за преглед за усогласеност.

Кога истрагата на DPA бара доказни материјали за ревизија, еден одговор функционира. Тоа е централизиран дневник. Ја опфаќа целата обработка на анонимизација на сите платформи.

Другиот одговор не функционира. Дневниците на локалната машина на програмерот од Word макро не се доволни.

Обработката на единствена платформа прави можна една евиденциска трага. Фрагментираните алатки го прават тоа невозможно.

За детали за барањата за евиденциска трага, видете разбирливо редактирање и HIPAA евиденциски траги.

Проблемот со дрифт во конфигурацијата

Со текот на времето, различните алатки развиваат различни конфигурации. Ова се случува полека и без предупредување.

Разгледајте еден вообичаен образец. Chrome Extension се ажурира со прилагодени типови ентитети. Python скриптата не се ажурира. Word макрото го поставил член на тимот кој оттогаш го напуштил. Никој не ги знае тековните поставки. Предодредената поставка на веб апликацијата се менува за да ги исклучи имињата на изведувачите. Таа промена никогаш не ги достигнува другите алатки.

Ажурирањето на една алатка без ажурирање на другите предизвикува дрифт. Со текот на времето, дрифтот предизвикува јазови.

Ревизорите за ISO 27001 бараат документација за конфигурацијата. "Имаме четири алатки, четири конфиги и не сме сигурни дали се тековни" не е добар одговор. VERIFIED — ISO/IEC 27001:2022 Додаток А 8.11 (Маскирање на податоци) бара документирани, конзистентни контроли; ISO/IEC 27001:2022.

Наод на ISO 27001 во практика

Една компанија за усогласеност со 15 вработени користела четири алатки. Веб-стругач за онлајн податоци. Десктоп алатка за Windows за пакетни датотеки. Word макро за правни документи. Chrome Extension за AI алатки.

Ревизијата за ISO 27001 произвела наод. Различни резултати на откривање на различни платформи. Без централизирана евиденциска трага. Јаз во Додатокот А 8.11. Контролата не е прикажана како конзистентно применета. VERIFIED-EXTERNAL — ова одговара на документирани шаблони за несоодветност на ISO 27001 Додаток А 8.11.

Наодот барал план за корективна акција. Корективната акција беше консолидација на платформата.

По консолидацијата, компанијата имала еден мотор за откривање на сите четири платформи. Истите предодредени поставки биле применувани во секој контекст. Целата обработка биле евидентирана на едно место. Наодот на ISO 27001 бил затворен на следната ревизија.

Проектот траел шест недели. Заменил 12-страничен одговор за корективна акција со затворен наод.

За повеќе за тоа како конзистентната анонимизација ја поддржува подготвеноста за ревизија на GDPR, видете конзистентност на анонимизацијата, предодредени поставки и ревизии на GDPR.

Тестот на наративот за усогласеност

Можете ли да одговорите на овие четири прашања без двоумење?

  1. Кои типови ентитети се детектираат на секоја платформа што ја користи вашиот тим?
  2. Кој е прагот за откривање за секој тип ентитет, конзистентно на сите платформи?
  3. Каде е централизираната евиденциска трага за целата анонимизација во последните 12 месеци?
  4. Како осигурувате дека промените во конфигурацијата се применуваат на сите платформи?

Ако кое и да е прашање предизвикува двоумење, фрагментацијата создава ризик за усогласеност.

Чистиот одговор на сите четири прашања е постижлив. Тоа бара еден мотор на сите платформи. Без тоа, секоја алатка создава свој јаз во покриеноста. Свој силос на евиденциска трага. Свој дрифт во конфигурацијата.

Ревизорите ги забележуваат овие јазови. Истражителите на DPA можат да ги искористат. Консолидацијата пред наод на ревизија е многу полесна отколку по неа.

За повеќе за тоа како фрагментацијата на алатките влијае на меѓуплатформските GDPR контроли, видете ревизија на GDPR и фрагментација на алатки за лични податоци меѓу платформи.

Извори

Поврзани статии

GDPR & Усогласеност

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Усогласеност

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Усогласеност

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Подготвени да ги заштитите вашите податоци?

Започнете со анонимизација на PII со 285+ типови на ентитети на 48 јазици.

Започнете бесплатен пробен периодПогледнете ги карактеристиките

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.