anonym.legal
Bloga DönGDPR & Uyumluluk

PII Araç Parçalanmasının Gizli Maliyeti: Farklı Platformlar İçin Farklı Araçlar Kullanmanın Uyumluluk Denetimlerini Neden Başarısız Kıldığını Anlamak

Dört farklı iş akışı için dört farklı araç, dört farklı varlık kapsama seti ve dört farklı denetim izi anlamına gelir. İşte bu yüzden DPAs ve ISO denetçileri bunu bir uyumluluk açığı olarak görüyor.

March 7, 20267 dk okuma
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Denetçilerin PII Kontrolleri Hakkında Sorduğunda Gördüğü Şeyler

GDPR denetim otoritesi denetimi veya ISO 27001 değerlendirmesi sırasında, standart sorulardan biri şudur: "PII anonimleştirmesi için hangi teknik kontrolleriniz var?"

Denetçi, temiz, savunulabilir bir cevap arıyor: nasıl çalıştığını belgeleyen ve etkinliğine dair kanıt sunan, tutarlı bir şekilde uygulanan belirli bir kontrol.

Uyumluluk riski yaratan cevap: "Bağlama bağlı olarak farklı araçlar kullanıyoruz. Web taraması için Chrome Eklentisi kullanıyoruz, Word belgeleri için bir makro kullanıyoruz, toplu dosyalar için veri ekibimizin yazdığı bir Python betiği var ve acil talepler için web uygulamasını kullanıyoruz."

Bu cevap bir takip sorusu tetikler: "Bu araçlar arasındaki kapsama farklılıkları nelerdir? Araçlar arasında tutarlı sonuçlar elde etmek için ne yapıyorsunuz? Tutarlı uygulamayı gösteren denetim izi nerede?"

Bu, parçalanmış araçların net bir şekilde cevaplayamayacağı sorulardır.

Kapsama Tutarlılığı Problemi

Farklı PII tespit araçları, farklı temel tespit yaklaşımları kullanır:

Sadece Regex araçları: Belirli desenleri arar (SSN formatı, e-posta formatı, kredi kartı formatı). NER tabanlı varlıkları (kişi adları, bilinen bir listeyle eşleşmeyen organizasyonlar), bağlamsal tanımlayıcıları ve ABD dışı formatları kaçırır.

Sadece NER araçları: Eğitimli modeller kullanarak varlık türlerini tespit eder. Desen tabanlı varlıkları (IBAN'lar, belirli formatlara sahip hesap numaraları), özel organizasyon tanımlayıcılarını ve eğitim verilerinde olmayan varlıkları kaçırır.

Araç A vs. Araç B vs. Araç C: Her biri farklı varlık türü kapsama, farklı güven eşikleri ve farklı kenar durumlarını ele alma yöntemlerine sahiptir. Araç A ve Araç C üzerinden işlenen aynı belge farklı tespit sonuçları üretebilir.

Uyumluluk problemi: Eğer Araç A (PDF'ler için kullanılan) doğum tarihlerini tespit ediyorsa ancak Araç B (Excel için kullanılan) tespit etmiyorsa, o zaman aynı veri konusunun PDF'deki doğum tarihi anonimleştirilirken, Excel tablosundaki doğum tarihi anonimleştirilmemiş olur. Sistematik uyumluluk kontrolü, belge formatına bağlı bir açığa sahiptir.

DPA soruşturmaları için bu açık keşfedilebilir. Eğer bir veri ihlali meydana gelirse ve soruşturma, bir veri konusunun kayıtlarının Excel tablosu versiyonunun anonimleştirilmediğini, oysa PDF versiyonunun anonimleştirildiğini ortaya çıkarırsa, araçlar arasındaki tutarsızlık, maruz kalmanın katkıda bulunan bir faktörüdür.

Denetim İzi Problemi

Uyumluluk belgeleri, kontrollerin tutarlı bir şekilde uygulandığını gösteren kanıt gerektirir. PII anonimleştirmesi için kanıt, denetim izidir: ne işlendi, ne zaman, kim tarafından, hangi araçla ve sonuç neydi.

Dört farklı araç, dört farklı denetim izi formatı üretir — ya da hiç denetim izi üretmez. Bir Word makrosu denetim kaydı üretmez. Bir Python betiği, uyumluluk yönetim sistemiyle entegre olmayan yerel bir dosyaya yazabilir. Chrome Eklentisi, uyumluluk belgeleri için erişilemeyen tarayıcı tarafı günlükleri üretebilir. Sadece web uygulaması, tüm işlemler için merkezi bir denetim izi üretebilir.

Bir DPA soruşturması için denetim izi kanıtı gerektiren bir durumda, "bu belgeyi bir Word makrosunda işledik, o günlükler geliştiricinin yerel makinesinde" yanıtı tatmin edici değildir. "İstenen dönem için tüm platformlar arasında anonimleştirme işlemlerini kapsayan merkezi denetim kaydı burada" yanıtı tatmin edicidir.

Tek platformda işleme, tek denetim izi kapsamı sağlar. Parçalanmış araçlar merkezi denetim izini imkansız hale getirir.

Konfigürasyon Sapması Problemi

Zamanla, farklı ekip üyeleri tarafından kullanılan farklı araçlar, farklı konfigürasyonlar geliştirir:

  • Chrome Eklentisi, kuruluşun özel varlık türleriyle yapılandırılmıştır
  • Python betiği, özel varlık türleri eklendiğinde güncellenmemiştir
  • Word makrosu, o zamandan beri ayrılan bir ekip üyesi tarafından yapılandırılmıştır ve mevcut ayarları kimse bilmiyor
  • Web uygulaması ön ayarı, geçen ay yüklenici adlarını hariç tutacak şekilde güncellenmiştir, ancak bu güncelleme diğer araçlara aktarılmamıştır

Konfigürasyon sapması, tersine tutarsızlık problemini yaratır: tüm araçlar başlangıçta benzer sonuçlar üretiyorsa bile, bir araçtaki bakım faaliyetinin diğerlerini güncellemeksizin yapılması zamanla farklılık yaratır.

ISO 27001 kontrolleri için, konfigürasyon belgelendirme gerekliliği bunu özellikle sorunlu hale getirir. "PII anonimleştirme kontrollerinizin konfigürasyonunu gösterin" diyen bir ISO denetçisine "dört farklı konfigürasyona sahip dört aracımız var ve hepsinin güncel olduğundan emin değiliz" yanıtı tatmin edici olamaz.

ISO 27001 Bulgusu

Bir uyumluluk danışmanlık firmasının 15 kişilik ekibi, dört farklı araç kullandı: çevrimiçi veriler için bir web tarayıcı aracı, toplu dosyalar için bağımsız bir Windows masaüstü aracı, yasal belgeler için bir Word makrosu ve AI araçları için bir Chrome eklentisi.

Bir ISO 27001 denetimi bir bulgu üretti: "Platformlar arasında tutarsız veri anonimleştirme prosedürleri. Farklı bağlamlar için kullanılan farklı araçlar, farklı tespit sonuçları üretir ve merkezi bir denetim izi yoktur. Bu, kontrol ISO/IEC 27001:2022 Ek A 8.11 (Veri maskeleme) açısından bir açığa neden olur — kontrolün tutarlı bir şekilde uygulandığı gösterilemez."

Denetim bulgusu, bir düzeltici eylem planı gerektirdi. Uygulanan düzeltici eylem: tüm kullanım durumları için tek bir anonimleştirme platformuna konsolidasyon.

Konsolidasyon sonrası sonuçlar:

  • Tüm platformlarda aynı tespit motoru (Web Uygulaması, Masaüstü Uygulaması, Ofis Eklentisi, Chrome Eklentisi)
  • Bağlamlar arasında aynı ön ayarlar uygulanmıştır
  • Tüm işlemler için merkezi denetim izi
  • ISO 27001 bulgusu bir sonraki gözetim denetiminde kapatıldı

6 haftalık konsolidasyon projesi, 12 sayfalık bir düzeltici eylem yanıtı gerektiren denetim bulgusunu ortadan kaldırdı.

Uyumluluk Anlatı Testi

PII araç parçalanmasını değerlendirmek için faydalı bir test: aşağıdaki soruları net bir şekilde yanıtlayabiliyor musunuz?

  1. Ekip üyelerinizin PII anonimleştirmesi için kullandığı tüm platformlarda hangi varlık türleri tespit ediliyor?
  2. Her varlık türü için tespit eşiği (güven düzeyi) tüm platformlarda tutarlı mıdır?
  3. Geçtiğimiz 12 ay içinde tüm anonimleştirme işlemleri için merkezi denetim izi nerede?
  4. Konfigürasyon değişikliklerinin tüm platformlarda tutarlı bir şekilde uygulanmasını nasıl sağlıyorsunuz?

Bu sorulardan herhangi biri tereddütlü bir yanıt veriyorsa, parçalanma uyumluluk riski yaratıyor demektir. Tüm dört soruya temiz bir yanıt vermek mümkündür — ancak bu, platformlar arasında birleşik bir motorla mümkündür.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Uyumluluk

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle