Het DSAR Volume Probleem
Artikel 12 van de GDPR vereist dat organisaties binnen één maand reageren op Verzoeken om Toegang tot Gegevens van Betrokkenen, met een mogelijke verlenging van twee maanden voor complexe verzoeken. De klok van één maand is absoluut - geen respijtperiode, geen goede trouw uitzondering. Niet-naleving van de tijdslimieten voor reacties is onafhankelijk sanctioneerbaar, ongeacht de onderliggende praktijken voor gegevensbescherming.
Belangrijke handhavingsacties van de DPA in 2024 - de €310 miljoen boete van de Ierse DPC tegen LinkedIn voor gedragsadvertenties zonder geldige toestemming en €251 miljoen tegen Meta voor falen in het melden van datalekken - hebben geleid tot aanzienlijke publieke bewustwording van de rechten van betrokkenen. Na elke grote boete voeren DPA's doorgaans bijbehorende bewustwordingscampagnes, en het volume van DSAR's neemt toe naarmate betrokkenen leren dat ze rechten hebben om uit te oefenen.
Het 2024 Coördinerend Handhavingskader van de EDPB richtte zich op tekortkomingen in het recht op toegang - direct gericht op de kwaliteit en tijdigheid van DSAR-reacties. Organisaties die niet kunnen aantonen dat ze compliant DSAR's verwerken, lopen een verhoogd risico nu de handhavingsfocus van de EDPB verschuift naar toegangrechten.
Het Derde-Partij PII Probleem
De voorbereiding van de DSAR-reactie heeft een specifieke complicatie die de handmatige werkdruk vermenigvuldigt: derde-partij PII.
Wanneer een betrokkene alle persoonlijke gegevens aanvraagt die over hen worden bewaard, moet de organisatie de informatie verstrekken. Maar de records die over de betrokkene worden bewaard, kunnen verwijzingen naar andere individuen bevatten - klantenservicenotities die andere klanten vermelden, e-mailthreads die contactgegevens van andere medewerkers bevatten, klachtenregistraties die derde partijen vermelden. Het verstrekken van deze records aan de verzoekende betrokkene onthult de persoonlijke gegevens van de derde partijen in strijd met hun rechten.
Een conforme DSAR-reactie vereist het controleren van elk document in het reactiepakket op derde-partij PII en het anonimiseren van die verwijzingen voordat deze worden verzonden. Voor een telecommunicatiebedrijf met 300 DSAR's per maand, elk met 50 servicenotities en communicatie, betekent dit dat er maandelijks 15.000 documenten moeten worden gecontroleerd op verwijzingen naar derde-partij PII - uitsluitend voor DSAR-naleving.
Handmatige controle op deze schaal is niet haalbaar binnen de één-maand termijn van Artikel 12. Een compliance-team van drie kan niet maandelijks 15.000 documenten controleren naast hun andere verplichtingen. De enige schaalbare aanpak is geautomatiseerde batchverwerking met een vooraf ingestelde configuratie voor het verwijderen van derde-partij PII.
De Batchverwerkingsarchitectuur
Een "DSAR-reactie" preset geconfigureerd voor het verwijderen van derde-partij PII: de preset detecteert alle persoonsnamen, contactinformatie en identificerende verwijzingen binnen de documenten. Het past anonimisatie toe op alle gedetecteerde verwijzingen, behalve die expliciet toebehoren aan de verzoekende betrokkene (geïdentificeerd door naam en rekeningnummer aan het begin van de batchtaak). Andere klanten die in de records worden genoemd, medewerkers die in servicenotities worden vermeld, en derde partijen die in correspondentie worden genoemd, worden geanonimiseerd voordat het documentpakket wordt samengesteld voor de reactie van de betrokkene.
Het verwerken van 50 documenten per DSAR-verzoek duurt minuten in plaats van uren. Het compliance-team controleert de geanonimiseerde output op kwaliteit en randgevallen in plaats van de initiële controle uit te voeren. De reactietijd voor DSAR's vermindert van weken naar dagen.
Bronnen: