anonym.legal

By · Last updated 2026-06-05

Tilbake til BloggAI Sikkerhet

GDPR art. 32: Overvaking av PII-eksponering i KI-verktoy

Enterprise-compliance-team trenger kvantitativ dokumentasjon pa PII-kontroller for KI-verktoy. Nettverks-DLP misser nettleserbaserte KI-interaksjoner.

June 5, 20267 min lesing
GDPR Article 32AI compliancePII monitoringCISO evidenceenterprise AI governance

Bevis GDPR artikkel 32-samsvar for KI-verktoy

Oppdatert for 2026.

GDPR artikkel 32 krever "egnede tekniske og organisatoriske tiltak" for aa beskytte personopplysninger. Nar ansatte bruker eksterne KI-verktoy - ChatGPT, Claude, Gemini - er risikoen reell og maalbar. Kontrollene ma ogsaa vaere maalbare.

En policy som sier "ikke del personopplysninger med KI-verktoy" er et organisatorisk tiltak. Det er ikke et teknisk tiltak. Det er ikke nok nar en DPA-revisor sporr: "Hvordan vet dere at de ansatte etterlever?"

Hva DPA-revisorer sporr om KI-verktoy

Etter Samsung ChatGPT-bruddet i mars 2023 tok regulatorer et naermere blikk pa enterprise-KI-programmer. DPA-revisorer stiller na direkte sporsmal.

Om tekniske kontroller sporr de:

  • Hva forhindrer personopplysninger fra aa na KI-systemer?
  • Hvordan handhever dere maskering i sanntid?
  • Hvilken dokumentasjon viser at kontrollene virker?

Om overvaking sporr de:

  • Hvordan sporrer dere ansattes KI-bruk for PII-eksponering?
  • Hvilke maaltall samler dere inn? Hvor ofte?
  • Hvordan vet dere at kontrollene ikke omgas?

Om hendelsesoppdagelse sporr de:

  • Hvordan ville dere oppdage en PII-lekkasje til et KI-verktoy?
  • Hva er responsplanen deres?

Policydokumenter svarer ikke pa noen av disse sporsmaalene. De sier hva ansatte skal gjore. De viser ikke hva ansatte faktisk gjor.

Overvakingsgapet for nettleserbaserte KI-verktoy

Enterprise-IT-team star overfor et kjerneproblem: nettleserbaserte KI-verktoy er vanskelige aa overvake.

HTTPS-kryptering

ChatGPT, Claude og Gemini bruker alle HTTPS med HSTS. Nettverksinspektion kan ikke lese fororselstekst uten TLS-dekryptering.

TLS-inspeksjon

SSL-inspeksjon krever enterprise-sertifikater pa hver enhet. Det kan bryte sertifikatfesting i noen apper. Det skaper nye sikkerhetsgap. Det kan bryte KI-plattformenes bruksvilkar. Det reiser personvernsporsmal for ansatte i mange land.

Endepunkt-DLP

Endepunktagenter overvaker utklippstavle og tastaturinput. Men de har hoy falskt-positiv-rate. De kan ikke skille mellom "taste klientdata inn i en kontrakt" og "taste det inn i ChatGPT". Forsinkelse kan ga glipp av live-sendinger.

Resultatet: de fleste bedrifter som bruker KI-verktoy, har liten oversikt over hvilke data som nar disse systemene.

Et compliance-dashbord i praksis

En finansiell CISO ma vise revisorer at KI-verktoy-PII-eksponering spores og kontrolleres. Revisjonskravet: harde data pa aktiv overvaking.

Bedriften ruller ut en Chrome-utvidelse til 500 ansatte. En ukes utdata:

MaaltallUkentlig verdi
Totale KI-sesjoner8 400
PII-enheter oppdaget12 000
Maskeringsrate94 %
Kundenavn funnet4 800
Kontonummer funnet3 200
Transaksjons-IDer funnet2 100
Umaskerte sendinger (6 %)720 enheter

Merk: illustrativt scenario. Resultater varierer etter bedriftsstorrelse og KI-bruk.

Fire ting dette viser revisorer:

  • Omfang av KI-verktoybruk (8 400 sesjoner per uke)
  • Volum av PII i risikosonen (12 000 enheter funnet)
  • Kontrollytelse (94 % maskeringsrate)
  • Restrisiko (720 enheter trenger oppfolging)

Tre ting revisorer kan verifisere:

  • En teknisk kontroll er aktiv (utvidelsesdistribusjonslogger)
  • Overvaking er aktiv (ukentlige rapporter)
  • Restrisiko haandteres (oppfolgingsopplaering for de 6 %)

Dette er gapet mellom "vi har en policy" og "her er vare malte kontrollresultater".

Gjore resultater om til forbedring

De 6 % som sendes uten maskering er ikke en fiasko. Det er en overvakingssuksess. Bedriften vet na:

  1. Hvilke ansatte avviser maskeringsforesporsler eller overser dem.
  2. Hvilke enhetstyper oftest sendes umaskert.
  3. Hvilke team har hoyere omgaelsesrater.
  4. Om raten faller etter hvert som ansatte tilpasser seg.

Dette driver malrettet handling. Ansatte med hoy omgaelsesrate far ekstra opplaering. Enhetstyper med hoy omgaelsesrate kan trenge sterkere varsler. Team med gjentatte omgaelser kan trenge en arbeidsflytendring.

Uten dette resultatet anvendes opplaering jevnt. Med det gar opplaering dit risikoen er storst.

Hva en komplett artikkel 32-pakke ser ut som

Et komplett GDPR artikkel 32-dokumentsett for et KI-verktoyprogram:

Tekniske tiltak:

  1. Chrome-utvidelse pa N enheter (dokumentasjon: MDM-logger)
  2. Live PII-oppdagelse i KI-verktoys inntastingsfelt
  3. Maskeringsarbeidsflyt med revisjonslogg (utvidelseslogger)
  4. Compliance-dashbord (oppdagelsestall)

Organisatoriske tiltak:

  1. Policy for KI-verktoybruk
  2. Opplaeringsregistre for ansatte
  3. Hendelsesresponsplan for KI-datalekkasjer
  4. Kvartalsvis gjennomgang av overvakingsresultater

Overvakingsdokumentasjon:

  1. Ukentlige dashbordtall (rullende 12 maneder)
  2. Trend for maskeringsrate
  3. Enhetstype-fordeling
  4. Oppfolgingsregistre for omgaelser

Hendelsesoppdagelse:

  1. Overvakingsresultater flaggerer uvanlig atferd (plutselig ratefall, nye enhetstyper)
  2. Hendelsesresponsplan testet den [dato]

Dette settet oppfyller artikkel 32. Det viser tekniske og organisatoriske tiltak med reell dokumentasjon.

Kvantifisere risikoreduksjon

For proporsjonalitetstesten ma du vise hvilken risiko kontrollen fjerner.

Uten kontrollen:

  • 11 % av KI-foresporsler inneholder PII (Cyberhaven 2025)
  • 8 400 ukentlige sesjoner x 11 % = 924 sesjoner med PII per uke
  • Hver sesjon: en potensiell GDPR artikkel 83-eksponering hvis EU-data er involvert

Med kontrollen (94 % maskeringsrate):

  • 924 sesjoner med oppdaget PII
  • 94 % maskert: 869 sesjoner beskyttet
  • Rest: 55 sesjoner per uke med umaskert innhold

Resultatet: 94 % reduksjon i PII-eksponering fra KI-verktoybruk.

For regulatorer som bruker proporsjonalitetstesten er en 94 % reduksjon fra en distribuert teknisk kontroll sterkt bevis. Se ogsaa sanntids-PII-forebygging for KI-verktoy og nettleser-DLP for ChatGPT, Claude og Gemini.

Konklusjon

GDPR artikkel 32-samsvar for KI-verktoy kan ikke hvile pa policy alene. Overvaking av nettleserbaserte KI-sesjoner for PII-eksponering trenger en teknisk kontroll som produserer dokumentasjon.

Live maskering med innebygd overvaking gir deg begge deler: forebygging (mindre eksponering) og dokumentasjon (malt risiko og kontrollresultater). Den kombinasjonen oppfyller artikkel 32.

For CISO-er som star overfor en DPA-revisjon: revisorer vil ha harde data. Vis oppdagelsesrater, maskeringsrater og trender for restrisiko. Policy er starten. Overvakingsresultater er beviset.

For hvordan blokkering sammenlignes med maskering som kontroll, se Nettleser-DLP: Blokkering vs. anonymisering.

Kilder

Relaterte Artikler

AI Sikkerhet

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Sikkerhet

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Sikkerhet

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.