anonym.legal

By · Last updated 2026-06-05

Tillbaka till BloggenAI-säkerhet

Intern wiki-PII: Confluence och kunddata

Supportteam dokumenterar processer med skärmdumpar av kundkonton. Under 3 år är det tusentals GDPR-överträdelser mot dataminimering i din kunskapsbas.

June 5, 20266 min läsning
Confluence GDPRinternal wiki PIIcustomer datadocumentation privacydata minimization

Skärmdumps-PII i interna kunskapsbaser

Interna kunskapsbaser — Confluence, Notion, SharePoint, GitBook — innehåller en specifik typ av PII-problem som standardverktyg för efterlevnad missar: kundpersonuppgifter inbäddade i skärmdumpar som används i processdokumentation.

Mönstret upprepas i tusentals support- och driftsteam.

En supportagent hittar en ovanlig kontokonfiguration. De tar en skärmdump av kundens kontosida för att dokumentera problemet. Skärmdumpen visar kundens namn i UI-rubriken, deras e-post i kontoinställningarna och deras planinformation.

Artikeln publiceras i den interna kunskapsbasen. Etthundrafemtio supportagenter kan nu se den. Tolv entreprenörer på den externa helpdisken kan också se den. Artikeln är användbar. Den visar hur man hanterar det gränsfall. Varje agent som stöter på den konfigurationen i framtiden kommer att läsa den.

Tre år senare innehåller kunskapsbasen 847 sådana artiklar. Var och en innehåller skärmdumpar av kundkonton. De kunder som visas gav inte samtycke till denna sekundära användning av deras uppgifter. De flesta vet inte att deras data lagras där.

Detta är inte ett litet problem. Det växer med varje ny artikel.

GDPR-exponering: Varför detta spelar roll

GDPR-analysen för kunskapsbasskärmdumpar är direkt.

Dataminimering (Artikel 5(1)(c)): Personuppgifter måste vara "adekvata, relevanta och begränsade till vad som är nödvändigt." En kunskapsbasartikel om kontokonfiguration behöver inte den riktiga kundens namn och e-post. En suddig skärmdump tjänar syftet lika bra. Att inkludera live-kunddata är inte nödvändigt.

Ändamålsbegränsning (Artikel 5(1)(b)): Data som samlats in för ett syfte — kundservice — kan inte återanvändas för ett annat syfte — intern processdokumentation — utan rättslig grund. Kontoposter samlades in för serviceleverans, inte för intern dokumentation. Dessa är två skilda behandlingssyften. Att använda samma poster för båda kräver en giltig rättslig grund som de flesta team inte har etablerat.

Åtkomstkontroll (Artikel 5(1)(f) och Artikel 32): Lämpliga tekniska åtgärder måste skydda personuppgifter. Kundkontoskärmdumpar i ett verktyg öppet för alla 150 agenter och entreprenörer — inklusive de utan åtkomst till det underliggande kontosystemet — skapar alltför bred åtkomst.

Rätten till radering (Artikel 17): En registrerad som begär radering har rätt att få sina uppgifter borttagna "utan onödigt dröjsmål." Om deras data finns i 23 kunskapsbasartiklar som inbäddade skärmdumpar kräver förfrågan att alla 23 artiklarna hittas och uppdateras. Det är svårt utan ett system. Vår GDPR-raderingsguide täcker stegen i detalj.

Inget av detta är kantlästolkningar. De är direkta tillämpningar av förordningstexten på en vanlig praxis.

Åtkomstkontrollkringgåendet

Det allvarligaste efterlevnadsproblemet med Confluence-skärmdumpar är det åtkomstkontrollkringgående de skapar.

Supportteam använder rollbaserad åtkomstkontroll (RBAC) för att begränsa vem som kan se kundkontosystem. Nivå 1-agenter ser grundläggande kontodetaljer. Nivå 2-agenter ser fakturerings- och tekniska uppgifter. Chefer ser hela kontoprofilen.

När en Nivå 2-agent skapar en kunskapsbasartikel med en skärmdump av hela kundkontot, blir den skärmdumpen synlig för varje användare av verktyget. Nivå 1-agenter som inte bör se faktureringsuppgifter kan nu se dem. Entreprenörer utan systemåtkomst kan se dem. Ny personal i introduktion kan se dem.

Skärmdumpen kringgår RBAC-kontrollerna på kundkontosystemet. De personuppgifter som RBAC byggdes för att skydda är nu öppna för alla med åtkomst till kunskapsbasen.

Detta är inte en teoretisk risk. Det är det normala resultatet av dokumentationsarbetsflödet. Skärmdumpen sitter där utan utgångsdatum, åtkomstlogg eller revisionsprotokoll.

Praktiska åtgärdssteg

För team som hittar detta problem under en GDPR-revision:

Retroaktiv åtgärd:

  1. Identifiera alla kunskapsbasssidor med bildbilagor
  2. Kör bild-PII-identifiering på varje bilaga
  3. Granska flaggade bilder: träffar med hög konfidenspoäng går till granskningskön
  4. För varje flaggad bild: ersätt med en sanerad version eller begränsa sidåtkomst
  5. Logga åtgärdsåtgärder för GDPR-dokumentation

Omfattningen av retroaktivt arbete beror på kunskapsbasens storlek. För en tre år gammal kunskapsbas på ett 50-personers supportteam kan bildantalet nå tusentals. Batchbildbearbetning gör detta genomförbart. Mänsklig granskning av flaggade bilder är den viktigaste flaskhalsen.

Framåtblickande kontroller:

  1. Utbilda all supportpersonal att sanera skärmdumpar innan publicering i kunskapsbasen
  2. Tillhandahåll verktyg: skärmdumpsannoteringverktyg som sudddar kundnamn innan inklistring
  3. Lägg till ett granskningssteg: en utsedd granskare kontrollerar artiklar innan publicering, specifikt för kund-PII i bilder
  4. Kör en kvartalvis batchbildskanning av alla Confluence-bilagor

Minimalt genomförbar kontroll: En publiceringschecklista: "Ta bort eller sudda ut alla kundnamn, e-postadresser och konto-ID:n från skärmdumpar innan publicering." Lågteknologisk, icke-automatiserad, men skapar en dokumenterad kontroll. För små team är detta startpunkten.

Se vår GDPR-efterlevnadsöversikt för det bredare juridiska ramverket, och varför policy utan tekniska kontroller misslyckas för varför checklistabaserade tillvägagångssätt bryter ihop i stor skala.

Varför problemet växer med tiden

Utan systematiska kontroller förvärras kunskapsbas-PII-exponering.

Volym: Varje ny artikel med en kundskärmdump ökar den totala exponeringen. I takt med att supportteamet växer och kunskapsbasen expanderar ökar den ackumulerade PII:n också. De egenskaper som gör dessa verktyg användbara — enkel publicering, beständighet, bred åtkomst — är det som förvärrar PII-problemet.

Glömda artiklar: Artiklar om gamla gränsfall som inte längre dyker upp förblir tillgängliga. De innehåller PII från kunder som sedan dess har lämnat in raderingsförfrågningar. Ingen kontrollerar en artikel senast uppdaterad 2022.

Tvärteamsspridning: Kunskapsbaser går ofta tvärfunktionellt. En supportartikel med kundskärmdumpar kan delas med produktteamet, ingenjörsteamet eller externa entreprenörer för sammanhang kring en funktionsförfrågan eller felrapport. Varje delning vidgar publiken för personuppgifterna.

Raderingseftersläpning: I takt med att fler kunduppgifter samlas i kunskapsbasen blir det mer komplext att svara på raderingsförfrågningar. Utan ett system finns det inget tillförlitligt sätt att bekräfta att varje instans av en registrerad persons uppgifter har hittats och tagits bort. Teamet kan inte göra en trovärdig raderingsattest.

Kunskapsbas-PII är lättare att förhindra än att åtgärda. Kontroller som implementeras nu undviker det sammansatta åtgärdsproblemet. Varje artikel som publiceras utan en suddig skärmdump är en åtgärdsuppgift uppskjuten till framtiden.

Källor

Relaterade Artiklar

AI-säkerhet

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI-säkerhet

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

AI-säkerhet

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.