anonym.legal

By · Last updated 2026-06-05

Terug naar BlogAI Beveiliging

Interne Wiki PII: Confluence Klantdata

Supportteams documenteren processen met screenshots van klantaccounts. Dat zijn na drie jaar duizenden AVG-dataminimalisatieovertredingen in uw kennisbank.

June 5, 20266 min lezen
Confluence GDPRinternal wiki PIIcustomer datadocumentation privacydata minimization

Screenshot-PII In Interne Kennisbanken

Interne kennisbanken — Confluence, Notion, SharePoint, GitBook — herbergen een specifiek type PII-probleem dat standaard compliancetools missen: klantpersoonsgegevens ingebed in screenshots die worden gebruikt voor procesdocumentatie.

Het patroon herhaalt zich bij duizenden support- en operationele teams.

Een supportmedewerker vindt een ongebruikelijke accountinstelling. Ze maken een screenshot van de accountpagina van de klant om het probleem te documenteren. Het screenshot toont de naam van de klant in de UI-header, hun e-mail in accountinstellingen en hun plandetails.

Het artikel gaat live in de interne kennisbank. Honderdvijftig supportmedewerkers kunnen het nu bekijken. Twaalf aannemers op de externe helpdesk kunnen het ook bekijken. Het artikel is nuttig. Het toont hoe die randcasus te behandelen. Elke medewerker die die instelling in de toekomst tegenkomt zal het lezen.

Drie jaar later bevat de kennisbank 847 dergelijke artikelen. Elk bevat screenshots van klantaccounts. De getoonde klanten hebben niet ingestemd met dit secundaire gebruik van hun records. De meesten weten niet dat hun data daar is opgeslagen.

Dit is geen klein probleem. Het groeit bij elk nieuw artikel.

AVG-Blootstelling: Waarom Dit Ertoe Doet

De AVG-analyse voor kennisbankscreenshots is direct.

Dataminimalisatie (artikel 5(1)(c)): Persoonsgegevens moeten "toereikend, ter zake dienend en beperkt tot wat noodzakelijk is" zijn. Een kennisbankartikel over accountinstellingen heeft de echte naam en e-mail van de klant niet nodig. Een vervaagde screenshot dient het doel net zo goed. Het opnemen van live klantdata is niet noodzakelijk.

Doelbinding (artikel 5(1)(b)): Data verzameld voor één doel — klantenservice — kan niet worden hergebruikt voor een ander doel — interne procesdocumentatie — zonder een rechtsgeldige grond. Accountrecords zijn verzameld voor dienstverlening, niet voor interne documentatie. Dit zijn twee afzonderlijke verwerkingsdoeleinden. Het gebruik van dezelfde records voor beide vereist een geldige rechtsgrond die de meeste teams niet hebben opgezet.

Toegangscontrole (artikel 5(1)(f) en artikel 32): Passende technische maatregelen moeten persoonsgegevens beschermen. Klantaccountscreenshots in een tool open voor alle 150 medewerkers en aannemers — inclusief degenen zonder toegang tot het onderliggende accountsysteem — creëren te brede toegang.

Recht op wissing (artikel 17): Een betrokkene die om wissing verzoekt heeft het recht hun records "zonder onredelijke vertraging" te laten verwijderen. Als hun data verschijnt in 23 kennisbankartikelen als ingebedde screenshots, vereist het verzoek het vinden en bijwerken van alle 23 artikelen. Dat is moeilijk zonder een systeem. Onze GDPR-wissingsgids behandelt de stappen in detail.

Geen van deze zijn randlezingen. Het zijn directe toepassingen van de wettekst op een gangbare praktijk.

De Omzeiling Van Toegangscontrole

Het ernstigste complianceprobleem met Confluence-screenshots is de toegangscontrololeomzeiling die ze creëren.

Supportteams gebruiken op rollen gebaseerde toegangscontrole (RBAC) om te beperken wie klantsystemen kan bekijken. Tier 1-medewerkers zien alleen basisaccountdetails. Tier 2-medewerkers zien facturerings- en technische records. Managers zien het volledige accountprofiel.

Wanneer een Tier 2-medewerker een kennisbankartikel maakt met een screenshot van het volledige klantaccount, wordt dat screenshot zichtbaar voor elke gebruiker van de tool. Tier 1-medewerkers die geen factuurrecords mogen zien kunnen ze nu bekijken. Aannemers zonder systeemtoegang kunnen ze bekijken. Nieuwe medewerkers in onboarding kunnen ze bekijken.

Het screenshot omzeilt de RBAC-controles op het klantaccountsysteem. De persoonsgegevens die RBAC moest beschermen zijn nu open voor iedereen met toegang tot de kennisbank.

Dit is geen theoretisch risico. Het is het normale resultaat van de documentatieworkflow. Het screenshot zit er zonder vervaldatum, zonder toegangslog en zonder auditspoor.

Praktische Herstelstappen

Voor teams die dit probleem vinden tijdens een AVG-audit:

Retroactief herstel:

  1. Identificeer alle kennisbankpagina's met afbeeldingsbijlagen
  2. Voer afbeeldings-PII-detectie uit op elke bijlage
  3. Bekijk gemarkeerde afbeeldingen: hoog-vertrouwen treffers gaan naar de reviewwachtrij
  4. Voor elke gemarkeerde afbeelding: vervang door een gesanitiseerde versie of beperk paginatoegang
  5. Log herstelacties voor AVG-records

De omvang van retroactief werk hangt af van de kennisbankgrootte. Voor een drie jaar oude kennisbank bij een 50-persoons supportteam kan het afbeeldingsaantal duizenden bereiken. Batchafbeeldingsverwerking maakt dit uitvoerbaar. Menselijke review van gemarkeerde afbeeldingen is het belangrijkste knelpunt.

Prospectieve controles:

  1. Train alle supportmedewerkers om screenshots te sanitiseren vóór publicatie in de kennisbank
  2. Bied tooling aan: screenshot-annotatiegereedschappen die klantnamen vervagen vóór plakken
  3. Voeg een reviewstap toe: een aangewezen reviewer controleert artikelen vóór publicatie, specifiek op klant-PII in afbeeldingen
  4. Voer een kwartaallijkse batchafbeeldingsscan uit op alle Confluence-bijlagen

Minimale levensvatbare controle: Een publicatiechecklist: "Verwijder of vervaag alle klantnamen, e-mails en account-ID's uit screenshots vóór publicatie." Laagdrempelig, niet geautomatiseerd, maar het creëert een gedocumenteerde controle. Voor kleine teams is dit het startpunt.

Zie ons AVG-complianceoverzicht voor het bredere juridische kader, en waarom beleid zonder technische controles faalt voor waarom alleen-checklist-benaderingen op schaal falen.

Waarom Het Probleem In De Loop Van De Tijd Groeit

Zonder systematische controles neemt kennisbank-PII-blootstelling toe.

Volume: Elk nieuw artikel met een klantscreenshot voegt toe aan de totale blootstelling. Naarmate het supportteam groeit en de kennisbank uitbreidt, groeien ook de geaccumuleerde PII. De eigenschappen die deze tools nuttig maken — publicatiegemak, duurzaamheid, brede toegang — zijn wat het PII-probleem erger maakt.

Vergeten artikelen: Artikelen over oude randgevallen die niet meer voorkomen blijven toegankelijk. Ze bevatten PII van klanten die sindsdien wisverzoeken hebben ingediend. Niemand controleert een artikel dat voor het laatst is bijgewerkt in 2022.

Spreiding over teams: Kennisbanken worden vaak cross-functioneel. Een supportartikel met klantscreenshots kan worden gedeeld met het productteam, het engineeringteam of externe aannemers voor context bij een functieverzoek of bugreport. Elke deling vergroot het publiek voor de persoonsgegevens.

Wisachterstand: Naarmate meer klantrecords zich ophopen in de kennisbank, wordt het reageren op wisverzoeken complexer. Zonder een systeem is er geen betrouwbare manier om te bevestigen dat elke instantie van de records van een betrokkene is gevonden en verwijderd. Het team kan geen geloofwaardige wisbevestiging geven.

Kennisbank-PII is gemakkelijker te voorkomen dan te herstellen. Nu ingezette controles vermijden het samengestelde herstelprobleem. Elk artikel gepubliceerd zonder een vervaagd screenshot is een herstelklus uitgesteld naar de toekomst.

Bronnen

Gerelateerde Artikelen

AI Beveiliging

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Beveiliging

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

AI Beveiliging

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Klaar om uw gegevens te beschermen?

Begin met het anonimiseren van PII met 285+ entiteitstypen in 48 talen.

Start Gratis ProefperiodeBekijk Kenmerken

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.