DSAR-bølge: Batchbehandling for GDPR-samsvar
GDPR artikkel 12 setter en frist på én måned. Organisasjoner må svare på innsynskrav (DSARer) innen 30 dager. Komplekse saker får en forlengelse på 60 dager. Klokken starter ved mottak. Det finnes ingen respittpasjon. Å misse fristen er i seg selv et brudd.
I 2024 gjorde DPA-bøter datarettigheter allment kjent. Den irske DPC bøtela LinkedIn med 310 millioner euro for bruk av atferdsbasert reklame uten gyldig samtykke. Den bøtela Meta med 251 millioner euro for unnlatelse av å varsle om et datainnbrudd i tide. Hver bot brakte med seg en bevissthetskampanje. Flere lærte at de hadde rettigheter. DSAR-volumet økte.
EDPBs koordinerte håndhevelsesrammeverk for 2024 rettet seg mot svikt i innsynsretten. Organisasjoner som ikke kan vise rene DSAR-registreringer, møter nå økt gransking.
Se vår samsvarsside og sikkerhetspraksis for hvordan vi støtter GDPR-forpliktelser.
Tredjeparts PII-problemet
DSAR-svar skaper ett spesifikt problem: tredjeparts PII.
En registrert person ber om alle registre om seg selv. Disse registrene kan navngi andre personer. Et støttenotat kan inneholde en annen kundes telefonnummer. En e-posttråd kan vise en kollegas adresse. Et klageregister kan nevne en tredjepart. Å sende disse registrene ut eksponerer andre personers data. Det er et separat brudd på deres rettigheter.
Du må gjennomgå hvert dokument. Du må fjerne tredjeparts referanser før du sender. Et telekomselskap med 300 DSARer per måned har omtrent 50 dokumenter per forespørsel. Det er 15 000 dokumenter hver måned -- kun for DSAR-samsvar.
Et team på tre kan ikke håndtere det. Manuell gjennomgang passer ikke inn i et en-måneds-vindu i den skalaen.
Arkitektur for batchbehandling
En DSAR-svar-forhåndsinnstilling løser dette. Forhåndsinnstillingen skanner hvert dokument. Den finner alle personnavn, kontaktdetaljer og andre identifikatorer. Den anonymiserer hvert treff bortsett fra dem som tilhører den forespørrende personen. Du angir den personens navn og kontonummer ved starten av jobben.
Andre kunder nevnt i registreringer anonymiseres. Ansatte sitert i tjenestenotater anonymiseres. Tredjeparter i e-poster anonymiseres. Alt dette skjer før dokumentpakken settes sammen.
Å behandle 50 dokumenter tar minutter -- ikke timer. Samsvarsgruppen sjekker utdataene for kanttilfeller. Responstiden faller fra uker til dager.
Besøk entitetssiden vår for å se hvilke datatyper forhåndsinnstillingen oppdager som standard.
Hva som er viktig for et forsvarlig arbeidsflyt
Tre ting gjør en DSAR-arbeidsflyt forsvarlig.
Hastighet. Batchverktøy fjerner flaskehalsen som forårsaker forsinkelser ved volum.
Nøyaktighet. Forhåndsinnstillingen må fjerne tredjeparts PII uten å berøre den registrertes egne data. En godt konfigurert forhåndsinnstilling håndterer dette skillet.
Revisjonsspor. Artikkel 5(2) krever bevis på samsvar. Batchkjøringer logger hvilke dokumenter som ble behandlet, hvilken forhåndsinnstilling som ble brukt og når. Den loggen er ditt bevis.