anonym.legal

By · Last updated 2026-06-05

Bloga DönGDPR & Uyumluluk

KKB Parçalanması Uyum Denetimlerini Başarısız Kılıyor

Dört farklı iş akışı için dört farklı araç, dört farklı varlık kapsam seti ve dört farklı denetim izi anlamına gelir.

June 5, 20267 dk okuma
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Denetçiler KKB Kontrolleri Hakkında Ne Sorar

GDPR ve ISO 27001 denetçileri standart bir soru sorar. "KKB anonimleştirme için hangi kontrolleriniz var?"

Tek bir net cevap isterler. Tek bir kontrol. Her seferinde aynı şekilde uygulanmış. Belgeleme ve kanıt ile.

Riskli cevap şöyle duyulur: "Bağlama göre değişir. Web taraması için Chrome Uzantısı. Hukuki belgeler için bir Word makrosu. Toplu dosyalar için bir Python betiği. Acil talepler için web uygulaması."

Bu cevap takip soruları tetikler. "Bu araçlar arasındaki kapsam boşlukları nelerdir? Denetim izi nerede?"

Parçalı araç bu soruları yanıtlayamaz. İşte uyum sorunu budur.

Kapsam Tutarlılığı Sorunu

Farklı KKB araçları farklı tespit yöntemleri kullanır. Sonuçları farklıdır — bazen çok fazla.

Yalnızca regex araçları, sabit desenleri arar. SSN formatı. E-posta formatı. Kredi kartı formatı. NVT tabanlı varlıkları kaçırırlar. Kişi adları ve ABD dışı formatlar tespit edilmeden geçer.

Yalnızca NVT araçları, eğitilmiş modeller kullanarak varlık türlerini tespit eder. Desen tabanlı varlıkları kaçırırlar. IBAN'lar ve özel tanımlayıcılar, eğitim verisinde yoklarsa süzülüp gider.

Her aracın farklı varlık kapsamı vardır. Her aracın farklı güven eşikleri vardır. Araç A ve Araç C üzerinden geçen aynı belge farklı sonuçlar üretebilir. DOĞRULANDI.

Bu, doğrudan bir uyum açığı yaratır. Araç A, PDF'ler için kullanılır. Araç B, Excel için kullanılır. Araç A, doğum tarihlerini tespit eder. Araç B tespit etmez. Aynı kişinin doğum tarihi, PDF'lerde anonimleştirilmiş ancak Excel dosyalarında açık kalır.

Boşluk, dosya formatına bağlıdır — politikaya değil. Amaca değil.

VKK soruşturmacıları, bir ihlal soruşturmasında bu boşluğu bulabilir. Araç tutarsızlığı, maruziyette bir faktör haline gelir. DOĞRULANDI — GDPR Madde 32 sistematik teknik tedbirler gerektirir.

Denetim İzi Sorunu

Uyum, tutarlı kontrol kullanımının kanıtını gerektirir. KKB anonimleştirme için bu kanıt, denetim izidir.

Dört araç, dört farklı günlük formatı üretir. Bazıları hiç günlük üretmez.

Bir Word makrosu denetim kaydı oluşturmaz. Bir Python betiği yerel bir dosyaya yazabilir. Bu dosya, uyum sisteminize bağlı değildir. Bir Chrome Uzantısı, tarayıcı tarafı günlükleri yazabilir. Bu günlükler, uyum incelemesi için erişilebilir değildir.

Bir VKK soruşturması denetim kanıtı talep ettiğinde, tek bir cevap işe yarar. Merkezi bir günlüktür. Tüm platformlardaki tüm anonimleştirme işlemlerini kapsar.

Diğer cevap işe yaramaz. Bir Word makrosundan geliştiricinin yerel makinesindeki günlükler yeterli değildir.

Tek platform işleme, tek bir denetim izini mümkün kılar. Parçalı araçlar bunu imkânsız kılar.

Denetim izi gereksinimleri hakkında ayrıntı için açıklanabilir redaksiyon ve HIPAA denetim izlerine bakın.

Yapılandırma Sürüklenmesi Sorunu

Zamanla, farklı araçlar farklı yapılandırmalar geliştirir. Bu yavaş ve uyarısız gerçekleşir.

Yaygın bir deseni düşünün. Chrome Uzantısı, özel varlık türleriyle güncellenir. Python betiği güncellenmez. Word makrosu, o zamandan beri ayrılan bir ekip üyesi tarafından kurulmuştu. Kimse mevcut ayarları bilmiyor. Web uygulaması ön ayarı, yüklenici adlarını dışarıda bırakacak şekilde değişir. Bu değişiklik diğer araçlara hiç ulaşmaz.

Bir aracı diğerlerini güncellemeden güncellemek sürüklenmeye neden olur. Zamanla sürüklenme açıklara yol açar.

ISO 27001 denetçileri yapılandırma belgesi ister. "Dört aracımız, dört yapılandırmamız var ve güncel olduklarından emin değiliz" iyi bir cevap değildir. DOĞRULANDI — ISO/IEC 27001:2022 Ek A 8.11 (Veri maskeleme), belgelenmiş, tutarlı kontroller gerektirir; ISO/IEC 27001:2022.

Pratikte Bir ISO 27001 Bulgusu

15 kişilik bir uyum firması dört araç kullandı. Çevrimiçi veriler için bir web kazıyıcı. Toplu dosyalar için bir Windows masaüstü aracı. Hukuki belgeler için bir Word makrosu. Yapay zeka araçları için bir Chrome Uzantısı.

Bir ISO 27001 denetimi bir bulgu ortaya çıkardı. Platformlar arası farklı tespit sonuçları. Merkezi denetim izi yok. Ek A 8.11'de bir boşluk. Kontrol, tutarlı biçimde uygulandığını gösteremedi. DOĞRULANDI-HARİCİ — bu, belgelenmiş ISO 27001 Ek A 8.11 uygunsuzluk kalıplarıyla uyuşmaktadır.

Bulgu, düzeltici bir eylem planı gerektirdi. Düzeltici eylem, platform konsolidasyonuydu.

Konsolidasyonun ardından, firma tüm dört platformda tek bir tespit motoruna sahipti. Aynı ön ayarlar her bağlamda uygulandı. Tüm işlemler tek bir yerde günlüğe kaydedildi. ISO 27001 bulgusu bir sonraki denetimde kapatıldı.

Proje altı hafta sürdü. 12 sayfalık düzeltici bir eylem yanıtını kapalı bir bulguyla değiştirdi.

Tutarlı anonimleştirmenin GDPR denetim hazırlığını nasıl desteklediği hakkında daha fazla bilgi için anonimleştirme tutarlılığı, ön ayarlar ve GDPR denetimleri sayfasına bakın.

Uyum Anlatısı Testi

Bu dört soruyu tereddütsüz yanıtlayabilir misiniz?

  1. Ekibinizin kullandığı her platformda hangi varlık türleri tespit ediliyor?
  2. Tüm platformlarda tutarlı biçimde her varlık türü için tespit eşiği nedir?
  3. Son 12 aydaki tüm anonimleştirme için merkezi denetim izi nerede?
  4. Yapılandırma değişikliklerinin tüm platformlara uygulandığını nasıl sağlıyorsunuz?

Herhangi bir soru tereddüde neden oluyorsa, parçalanma uyum riski yaratıyordur.

Dört sorunun tamamına temiz bir cevap verilebilir. Tüm platformlarda tek bir motor gerektirir. Bu olmadan, her araç kendi kapsam açığını yaratır. Kendi denetim izi silolarını. Kendi yapılandırma sürüklenmesini.

Denetçiler bu boşlukları fark eder. VKK soruşturmacıları bunlardan yararlanabilir. Bir denetim bulgusundan önce konsolide etmek, sonrasında yapmaktan çok daha kolaydır.

Araç parçalanmasının platformlar arası GDPR kontrollerini nasıl etkilediği hakkında daha fazla bilgi için GDPR denetimi ve platformlar arası KKB araç parçalanması sayfasına bakın.

Kaynaklar

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.