Redactie van PII-documenten

Wat is Redactie van PII-documenten?

PII-documentredactie is het permanent verwijderen of onleesbaar maken van persoonsgegevens in documenten voordat deze worden gedeeld, gepubliceerd of openbaar gemaakt aan onbevoegde partijen. Onder de AVG kan het niet correct redigeren van persoonsgegevens bij het vervullen van inzageverzoeken of het delen van documenten worden aangemerkt als ongeautoriseerde openbaarmaking en handhavingsmaatregelen uitlokken. Deze oefening geeft u een set realistische zakelijke documenten met persoonsgegevens die moeten worden gesaneerd voor vrijgave. U werkt door contracten, klantdossiers, interne rapporten en e-mailketens, waarbij u elk stuk informatie identificeert dat als persoonsgegeven kwalificeert onder de brede definitie van de AVG. Die definitie reikt verder dan voor de hand liggende velden zoals namen en e-mailadressen tot IP-adressen, cookie-identificatoren, locatiegegevens en alle informatie die een persoon direct of indirect kan identificeren. De oefening leert u waarom gangbare redactiemethoden falen. Het tekenen van zwarte vakken over tekst in een PDF verwijdert niet altijd de onderliggende gegevens. Het kopiëren en plakken van geredigeerde documenten kan verborgen informatie onthullen. Metadata in Word-bestanden en PDF's kan bijgehouden wijzigingen, auteursnamen en revisiegeschiedenis bevatten die de gegevens blootgeven waarvan u dacht dat u ze had verwijderd. U oefent technieken die wel werken, waaronder correct afvlakken, metadata-verwijdering en verificatie van geredigeerde uitvoer. Een studie uit 2023 wees uit dat 10% van geredigeerde rechtbankdocumenten nog steeds herstelbare persoonsgegevens bevatte door onjuiste techniek, waardoor dit een vaardigheid is die het waard is om goed te beheersen.

Wat je leert in Redactie van PII-documenten

• Alle categorieën persoonsgegevens identificeren onder de brede definitie van de AVG, inclusief indirecte identificatoren en metadata
• Redactietechnieken toepassen die onderliggende gegevens permanent verwijderen in plaats van ze alleen visueel te verbergen
• Documentmetadata verwijderen, waaronder bijgehouden wijzigingen, auteursinformatie en revisiegeschiedenis, voordat documenten worden gedeeld
• Verifiëren dat geredigeerde documenten geen herstelbare persoonsgegevens bevatten door middel van correcte uitvoertests
• De meest voorkomende redactiefouten vermijden die leiden tot onbedoelde gegevensblootstelling in gedeelde documenten

Redactie van PII-documenten — Trainingsstappen

1. Introductie

   Tegenwoordig moet u een klantrapport opstellen voor een externe auditor, maar het document bevat PII die eerst moet worden geredigeerd.

2. Het auditverzoek

   Alice ontvangt een e-mail van de leider van het complianceteam. Een externe auditor heeft documentatie opgevraagd met betrekking tot een recente klantbetrokkenheid, en het rapport moet tegen het einde van de dag worden gedeeld. De e-mail bevat als bijlage het klantrapport dat Alice moet downloaden en verwerken.

3. Het rapport downloaden

   Alice moet het bijgevoegde klantrapport downloaden om het te kunnen verwerken. Het bestand verschijnt in haar map Downloads, klaar om te worden geopend in de Document Viewer-toepassing. Michael benadrukt dat PII moet worden geredigeerd voordat deze extern wordt gedeeld - dit is een kernvereiste van de AVG.

4. Het document openen

   Het rapport bevindt zich nu in de map Downloads van Alice. Ze moet het openen met de Document Viewer - een gespecialiseerd hulpmiddel voor het bekijken en redigeren van gevoelige documenten. De Document Viewer is ontworpen voor documentverwerking die voldoet aan de AVG. Het houdt alle redacties bij voor auditdoeleinden en voorkomt onbedoelde openbaarmaking van PII.

5. Gevoelige gegevens identificeren

   De Documentviewer wordt geopend en het klantrapport wordt weergegeven. Alice kan verschillende gemarkeerde regio's zien die persoonlijke gegevens bevatten die moeten worden geredigeerd. Het document bevat de volgende PII-typen: burgerservicenummer, e-mailadres, telefoonnummer, fysiek adres en gedeeltelijke bankrekeninggegevens.

6. Het burgerservicenummer redigeren

   Het eerste gevoelige gegevensbestand is het burgerservicenummer van Sarah Chen. Dit is zeer gevoelige PII die nooit met derden mag worden gedeeld, tenzij dit absoluut noodzakelijk en juridisch gerechtvaardigd is. Alice moet op de SSN-regio klikken om een ​​black-outredactie toe te passen, waardoor de gegevens volledig worden verborgen. De auditors hebben geen legitieme noodzaak om deze informatie in te zien.

7. Het e-mailadres redigeren

   Vervolgens spreekt Alice het e-mailadres van Sarah Chen aan. Hoewel minder gevoelig dan een SSN, zijn e-mailadressen onder de AVG nog steeds persoonlijke gegevens en kunnen ze worden gebruikt om contact op te nemen met personen of deze te identificeren. Alice klikt op het e-mailgebied om het te redigeren. De auditors moeten zien dat de contactmethoden zijn gedocumenteerd, maar niet de daadwerkelijke e-mail.

8. Het telefoonnummer redigeren

   Sarah's telefoonnummer verschijnt in het gedeelte met contactgegevens. Net als e-mailadressen zijn telefoonnummers persoonlijke gegevens die kunnen worden gebruikt om personen te identificeren en rechtstreeks contact op te nemen. Alice klikt op het telefoonnummergebied om het te redigeren.

9. Het fysieke adres redigeren

   Het document bevat het thuisadres van Sarah voor factureringsdoeleinden. Fysieke adressen zijn belangrijke PII: ze onthullen waar een persoon woont en kunnen worden gebruikt voor ongewenst contact of erger. Alice klikt op het adresgebied om deze gevoelige locatiegegevens te redigeren.

10. Financiële gegevens redigeren

    Ten slotte adresseert Alice het gedeeltelijke bankrekeningnummer in het gedeelte met betalingsgegevens. Hoewel alleen de laatste vier cijfers worden weergegeven, wordt dit in combinatie met andere informatie in het document nog steeds beschouwd als financiële PII. Financiële gegevens vereisen altijd een zorgvuldige bescherming. Alice klikt op het bankrekeninggebied om het redactieproces te voltooien.