anonym.legal

By · Last updated 2026-03-15

Tillbaka till BloggenJuridisk Teknik

Permanent anonymisering: spolieringsrisk

34,8 % av ChatGPT-inmatningar innehåller känsliga uppgifter (Cyberhaven). Lösningen — permanent anonymisering — skapar sin egen juridiska risk: spoliering. GDPR art. 4(5) kräver reversibilitet.

March 15, 202610 min läsning
reversible encryptionspoliation risklegal discovery complianceGDPR pseudonymizationAES-256-GCM

Uppdaterat för 2026

En lösning, två nya risker

Många byråer blockerar nu AI-läckor genom att ta bort namn och ID-nummer innan text når en AI-leverantör. Envägshasning, hård redigering eller fullständig borttagning verkar alla säkra. AI:n får ren text. Känsliga uppgifter stannar internt.

Logiken håller på säkerhetssidan. Cyberhavens Q4 2025-studie fann att 34,8 % av innehållet som skickats till ChatGPT innehåller känsliga uppgifter. Ponemons 2024-rapport angav den genomsnittliga AI-intrångskostnaden till 2,1 miljoner dollar. Risken är verklig och kostnaden hög.

Men fullständig borttagning byter en risk mot en annan: spoliering av bevisning.

För byråer som är föremål för stämningar eller revisioner kan förstörandet av möjligheten att återställa råa poster räknas som spoliering enligt federala och statliga regler.

AI-delningsskalan

Forskning från eSecurity Planet och Cyberhaven fann att 77 % av personalen delar känsliga uppgifter med AI-verktyg varje vecka. Detta gäller juridik, hälso- och sjukvård, finans och teknik.

Delat innehåll inkluderar ofta:

  • Klientbrev och fallanteckningar
  • Utkast till kontrakt och avtalsvillkor
  • Interna planer och affärsposter
  • Finansiella modeller och prognoser
  • Juridiska PM och fallanteckningar
  • Patientjournaler och kliniska anteckningar
  • HR-filer och personalmeddelanden

När fullständig borttagning är AI-kontrollen kan varje dokument som passerar genom den förlora sitt juridiska värde. Om dessa dokument dyker upp i en stämning — mycket sannolikt under en flerårsperiod för byråer i reglerade branscher — har byrån potentiellt förlorat bevisning.

Se vår juridiska anpassningsöversikt för hur anonym.legal uppfyller discovery-skyldigheter. Du kan också granska tokensystemguiden för att se hur maskeringspipelinen fungerar i praktiken.

GDPR: Reversibilitet krävs

GDPR artikel 4(5) definierar pseudonymisering som behandling av personuppgifter på ett sätt som innebär att de "inte längre kan hänföras till en specifik registrerad utan användning av kompletterande uppgifter, förutsatt att sådana kompletterande uppgifter förvaras separat."

Nyckelpunkten: den extra nyckeln som möjliggör återkoppling måste bevaras. Poster som kan återkopplas via lagrade nycklar räknas som pseudonymiserade enligt GDPR.

Poster som inte alls kan återkopplas är inte pseudonymiserade. De är anonymiserade. Gapet spelar roll:

  • Tokenmaserade poster behåller vissa GDPR-skyldigheter men kan återställas för juridisk användning.
  • Fullständigt raderade poster kan falla utanför GDPR:s räckvidd men kan inte återställas alls.

European Data Protection Board:s riktlinjer 05/2022 bekräftar att reversibilitet är en kärnaspekt av definitionen. Byråer som använder envägsradering gör inte GDPR-pseudonymisering. De skär av möjligheten att återfå poster.

Läs mer på vårt efterlevnadshub och skyddsöversikt.

Federala regler: Spolieringstestet

Enligt Federal Rules of Civil Procedure måste parter bevara poster som kan vara relevanta för förväntade rättsliga åtgärder. Denna skyldighet börjar när en stämning rimligen kan förutses — inte när den lämnas in.

Rule 37(e) tillåter domstolar att ålägga påföljder när en part underlåter att bevara lagrade poster. Påföljder kan inkludera:

  • Instruktioner om ogynnsamma slutsatser
  • Uteslutning av bevisning
  • Fallslutsanktioner i allvarliga fall

Så här spelar detta ut. En byrå använder AI-arbetsflöden som fullständigt tar bort känsligt innehåll som en del av normal verksamhet. Dessa poster blir senare relevanta för en stämning. Byrån har ändrat dem så att rå texten inte kan återställas. Om det inträffade efter att skyldigheten att bevara uppstod, följer spolieringsexponering.

Detta är inte ett gränsfall. Byråer i reglerade branscher med återkommande rättslig exponering möter ständigt förutsebara stämningar över breda dokumenttyper. Att driftsätta fullständig borttagning i alla arbetsflöden — utan undantag för riskutsatta poster — skapar stor spolieringsrisk.

Reversibel kontra irreversibel: Nyckeldifferensen

Skillnaden mellan reversibel och envägsmaskning ligger i designen.

Envägs: ingen väg tillbaka

SHA-256-hashning av ett namn producerar en fast hash. Namnet kan inte härledas från det. Hård redigering tar bort text så att rå innehållet är borta.

Reversibel: återställning är möjlig

Tokenbyte med nyckelbevarande och AES-256-GCM-kryptering transformerar båda poster på sätt som kan ångras. Ett namn ersatt med en token kan återställas via en uppslagstabell. AES-256-GCM-innehåll kan dekrypteras med rätt nyckel. Den råa texten förblir nåbar.

För AI-skydd fungerar båda metoderna på samma sätt. AI:n bearbetar tokens och ser aldrig de verkliga posterna.

För juridisk skyldighet fungerar bara reversibel tokenmaskning. Envägsmetoder skär av återfående och skapar spolieringsrisken som noterats ovan.

Läs hur vårt tokensystem hanterar detta från början till slut. För djupare kontext, se ordlistan och vanliga frågor.

Den dubbelt kompatibla designen

En design som uppfyller både AI-säkerhet och juridiska avslöjandeskyldigheter använder reversibel AES-256-GCM tokenmaskning:

  1. Poster bearbetas innan de når något AI-verktyg.
  2. Känsliga objekt — namn, ID-nummer, PHI, privilegierat innehåll — byts mot strukturerade tokens.
  3. Tokenkartan förvaras i ett separat lager med åtkomstkontroller som matchar datatypen.
  4. AI-bearbetning körs på tokenkopian. AI:n ser aldrig de verkliga posterna.
  5. Resultat återställs med tokenkartan för normal affärsanvändning.
  6. Tokenkartan placeras under rättsligt bevarandekrav när discovery-skyldigheter uppstår.

Under denna design förloras inget rå innehåll någonsin. AI-leverantören ser det aldrig i användbar form. Tokenkartan håller återfående möjligt när lagen kräver det. Spolieringsrisken är borta — inga poster förstörs. De är bara maskerade på ett sätt som kan ångras.

GDPR artikel 4(5) uppfylls: den extra nyckeln (tokenkarta) förvaras separat med rätt tekniska och processkydd. Federal Rules-bevarandeskyldigheten uppfylls: råa poster kan återställas när ett rättsligt bevarandekrav tillämpas.

Utforska vår entitetsdetekteringsmetod, skyddsöversikt och planer och priser för fullständig information.

Det binära valet

Byråer ställs inför ett tydligt vägval:

  • Ta bort data permanent — lös AI-läckageproblemet men skapa juridisk risk.
  • Använd reversibel tokenmaskning — uppfyll både skydds- och efterlevnadsbehov på en gång.

Den genomsnittliga AI-intrångskostnaden på 2,1 miljoner dollar driver säkerhetsbeslutet. Men spolieringssanktioner är inte heller billiga. I fall med stora monetära insatser kan kostnaderna nå samma storleksordning. Båda riskerna förtjänar plats i beslutet.

En sund AI-policy täcker båda ändarna. Den blockerar känsliga poster från att lämna byrån i användbar form. Och den håller samma poster nåbara när en domstol eller tillsynsmyndighet begär dem. Reversibel tokenmaskning är den enda metoden som gör båda på en gång.

För mer bakgrund, se vårt grundarutlåtande och fallstudier.

Källor

  • Cyberhaven Q4 2025: Dataexponering i AI-verktyg — länk
  • IBM / Ponemon Institute: Cost of a Data Breach Report 2024 — länk
  • EDPB Riktlinjer 05/2022 om pseudonymisering — länk
  • Federal Rules of Civil Procedure Rule 37(e) — länk
  • E-Discovery LLC: Relevansredigeringar och juridiska standarder — länk

Relaterade Artiklar

Juridisk Teknik

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Juridisk Teknik

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Juridisk Teknik

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.