anonym.legal

By · Last updated 2026-06-05

Povratak na blogGDPR i usklađenost

Fragmentacija PII alata dovodi do neuspeha u compliance revizijama

Cetiri razlicita alata za cetiri razlicita radna toka znace cetiri razlicita skupa pokrivenosti entiteta i cetiri razlicita revizijska traga.

June 5, 20267 min čitanja
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Sta revizori pitaju o PII kontrolama

GDPR i ISO 27001 revizori postavljaju standardno pitanje. "Koje kontrole imate za anonimizaciju licnih podataka?"

Zele jedan jasan odgovor. Jednu kontrolu. Primenjenu na isti nacin svaki put. Sa dokumentacijom i dokazima.

Rizican odgovor zvuci ovako: "Zavisi od konteksta. Chrome Extension za pregledanje weba. Word makro za pravna dokumenta. Python skript za bulk fajlove. Web aplikacija za hitne zahteve."

Taj odgovor okida dodatna pitanja. "Koji su praznini u pokrivenosti izmedju ovih alata? Gde je revizijski trag?"

Fragmentisani alati ne mogu da odgovore na ta pitanja. To je compliance problem.

Problem konzistentnosti pokrivenosti

Razliciti PII alati koriste razlicite metode detekcije. Njihovi rezultati se razlikuju — ponekad znatno.

Alati samo sa regexom pretrazuju fiksne obrasce. SSN format. Imejl format. Format kreditne kartice. Propustaju entitete zasnovane na NER-u. Licna imena i ne-americke formate ne otkrivaju.

Alati samo sa NER-om otkrivaju vrste entiteta koristeci obucene modele. Propustaju entitete zasnovane na obrascima. IBAN-ovi i prilagodjeni identifikatori padaju kroz ako nisu u podacima za obucavanje.

Svaki alat ima razlicitu pokrivenost entiteta. Svaki alat ima razlicite pragove pouzdanosti. Isto dokumentu kroz Alat A i Alat C moze da da razlicite rezultate. VERIFIED.

Ovo stvara direktan compliance prazninu. Alat A se koristi za PDF-ove. Alat B se koristi za Excel. Alat A otkriva datume rodjenja. Alat B ne. Isti datum rodjenja osobe je anonimizovan u PDF-ovima ali izlozen u Excel fajlovima.

Praznina zavisi od formata fajla — ne od politike. Ne od namere.

Istrazivaci DPA-a mogu da pronadu ovaj prazninu u istrazivanju povrede. Nekonzistentnost alata postaje faktor izlozenosti. VERIFIED — GDPR clan 32 zahteva sistemske tehnicke mere.

Problem revizijskog traga

Usaglasenost zahteva dokaze dosledne upotrebe kontrola. Za anonimizaciju licnih podataka, taj dokaz je revizijski trag.

Cetiri alata proizvode cetiri razlicita formata dnevnika. Neki ne proizvode nijedan dnevnik.

Word makro ne kreira nijedan revizijski zapis. Python skript moze da pise u lokalni fajl. Taj fajl nije povezan sa vasim compliance sistemom. Chrome Extension moze da pise dnevnike na strani pregledaca. Ti dnevnici nisu dostupni za compliance pregled.

Kada DPA istraga trazi revizijske dokaze, jedan odgovor funkcionise. To je centralizovani dnevnik. Pokriva svu obradu anonimizacije na svim platformama.

Drugi odgovor ne funkcionise. Dnevnici na lokalnoj masini programera iz Word makroa nisu dovoljni.

Obrada na jednoj platformi omogucava jedan revizijski trag. Fragmentisani alati to cine nemogucim.

Za detalje o zahtevima revizijskog traga, pogledajte objasnjiva redakcija i HIPAA revizijski tragovi.

Problem drifta konfiguracije

Tokom vremena, razliciti alati razvijaju razlicite konfiguracije. Ovo se desava polako i bez upozorenja.

Razmotrite uobicajeni obrazac. Chrome Extension se azurira sa prilagodjenim vrstama entiteta. Python skript nije azuriran. Word makro je podesio clan tima koji je od tada otisao. Niko ne zna trenutne postavke. Preset web aplikacije se menja da iskljuci imena ugovaraoca. Ta promena nikad ne dostize druge alate.

Azuriranje jednog alata bez azuriranja ostalih izaziva drift. Tokom vremena, drift izaziva praznine.

ISO 27001 revizori traze dokumentaciju konfiguracije. "Imamo cetiri alata, cetiri konfiguracije i nismo sigurni da su aktuelni" nije dobar odgovor. VERIFIED — ISO/IEC 27001:2022 Aneks A 8.11 (Maskiranje podataka) zahteva dokumentovane, dosledne kontrole; ISO/IEC 27001:2022.

ISO 27001 nalaz u praksi

Kompanija za usaglasenost sa 15 zaposlenih koristila je cetiri alata. Web scraper za online podatke. Windows desktop alat za bulk fajlove. Word makro za pravna dokumenta. Chrome Extension za AI alate.

ISO 27001 revizija je dala nalaz. Razliciti rezultati detekcije na platformama. Nema centralizovanog revizijskog traga. Praznina u Aneksu A 8.11. Kontrola nije prikazana kao dosledno primenjena. VERIFIED-EXTERNAL — ovo odgovara dokumentovanim obrascima neusaglasenosti ISO 27001 Aneks A 8.11.

Nalaz je zahtevao plan korektivnih mera. Korektivna mera bila je konsolidacija platforme.

Nakon konsolidacije, kompanija je imala jedan motor detekcije na svim cetiri platforme. Isti preseti primenjeni u svakom kontekstu. Sva obrada evidentirana na jednom mestu. ISO 27001 nalaz je zatvoren na sledecoj reviziji.

Projekat je trajao sest nedelja. Zamenio je 12-stranicni odgovor na korektivnu meru zatvorenim nalazom.

Za vise o tome kako dosledna anonimizacija podrzava GDPR pripremljenost za reviziju, pogledajte doslednost anonimizacije, preseti i GDPR revizije.

Test compliance narativa

Mozete li da odgovorite na ova cetiri pitanja bez oklevanja?

  1. Koje vrste entiteta se otkrivaju na svim platformama koje vasa ekipa koristi?
  2. Koji je prag detekcije za svaku vrstu entiteta, dosledno na svim platformama?
  3. Gde je centralizovani revizijski trag za svu anonimizaciju u posleднjih 12 meseci?
  4. Kako osiguravate da se promene konfiguracije primenjuju na svim platformama?

Ako bilo koje pitanje izaziva oklevanje, fragmentacija stvara compliance rizik.

Cist odgovor na sva cetiri pitanja je ostvariv. Zahteva jedan motor na svim platformama. Bez toga, svaki alat stvara svoju prazninu u pokrivenosti. Svoju izolaciju revizijskog traga. Svoji drift konfiguracije.

Revizori primecuju ove praznine. DPA istrazivaci mogu da ih iskoriste. Konsolidacija pre compliance nalaza je daleko laksa od toga posle jednog.

Za vise o tome kako fragmentacija alata utice na GDPR kontrole na vise platformi, pogledajte GDPR revizija i fragmentacija PII alata na vise platformi.

Izvori

Povezani članci

GDPR i usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.