DSAR-volumproblemet
GDPR artikkel 12 krever at organisasjoner svarer på forespørsel om tilgang til personopplysninger innen en måned, med en mulig to-måneders forlengelse for komplekse forespørsel. Den en-måneders klokken er absolutt — ingen nådeperiode, ingen unntak for god tro. Manglende overholdelse av svarfrister kan straffes uavhengig av de underliggende databeskyttelsespraksisene.
Store DPA-håndhevelsesaksjoner i 2024 — den irske DPCs €310 millioner bot mot LinkedIn for atferdsreklame uten gyldig samtykke og €251 millioner mot Meta for manglende varsling om datainnbrudd — førte til betydelig offentlig bevissthet om rettighetene til registrerte. Etter hver stor bot kjører DPA-er vanligvis tilknyttede informasjonskampanjer, og DSAR-volumene øker ettersom registrerte lærer at de har rettigheter de kan utøve.
EDPBs 2024 Koordinerte Håndhevelsesrammeverk fokuserte på brudd på tilgangsrettigheter — som direkte adresserer kvaliteten og tidsriktigheten av DSAR-svar. Organisasjoner som ikke kan demonstrere overholdelse av DSAR-behandling er i økt risiko ettersom EDPBs håndhevelsesfokus skifter til tilgangsrettigheter.
Problemet med tredjeparts PII
Forberedelse av DSAR-svar har en spesifikk komplikasjon som multipliserer den manuelle arbeidsbyrden: tredjeparts PII.
Når en registrert ber om all personlig informasjon som holdes om dem, må organisasjonen gi informasjonen. Men registrene som holdes om den registrerte kan inneholde referanser til andre individer — kundeservicenotater som nevner andre kunder, e-posttråder som inkluderer kontaktinformasjon til andre ansatte, klagenotater som refererer til tredjepart. Å gi disse registrene til den forespørgende registrerte eksponerer tredjeparts personopplysninger i strid med deres rettigheter.
Overholdende DSAR-svar krever gjennomgang av hvert dokument i svarpakken for tredjeparts PII og anonymisering av disse referansene før sending. For et telekommunikasjonsselskap med 300 DSAR-er per måned, hver involverende 50 tjenestenotater og kommunikasjoner, betyr dette å gjennomgå 15 000 dokumenter månedlig for referanser til tredjeparts PII — utelukkende for DSAR-overholdelse.
Manuell gjennomgang i denne skalaen er ikke gjennomførbar innen den en-måneders vinduet i artikkel 12. Et overholdelsesteam på tre kan ikke gjennomgå 15 000 dokumenter månedlig i tillegg til sine andre forpliktelser. Den eneste skalerbare tilnærmingen er automatisert batchbehandling med en forhåndsinnstilling konfigurert for fjerning av tredjeparts PII.
Batchbehandlingsarkitekturen
En "DSAR-svar" forhåndsinnstilling konfigurert for fjerning av tredjeparts PII: forhåndsinnstillingen oppdager alle personnavn, kontaktinformasjon og identifiserende referanser innen dokumentene. Den anvender anonymisering på alle oppdagede referanser unntatt de som eksplisitt tilhører den forespørgende registrerte (identifisert med navn og kontonummer ved starten av batchjobben). Andre kunder nevnt i registrene, ansatte referert i tjenestenotater, og tredjepart nevnt i korrespondanse anonymiseres før dokumentpakken settes sammen for den registrertes svar.
Behandling av 50 dokumenter per DSAR-forespørsel tar minutter i stedet for timer. Overholdelsesteamet gjennomgår den anonymiserte utdataen for kvalitet og spesielle tilfeller i stedet for å utføre den innledende gjennomgangen. DSAR-svartiden reduseres fra uker til dager.
Kilder: