Hvorfor virker manuel GDPR-søgning ikke?

Umiddelbart kan det virke tiltalende at søge manuelt efter følsomme udtryk for at rydde op – man indtaster blot de følsomme søgetermer og så har man resultater. Men jeg er nødt til at påpege, at denne metode har nogle alvorlige faldgruber. Derfor anbefaler jeg klart at overveje specialiserede værktøjer, der kan gøre processen både enklere og mere grundig, så man kan sikre en ordenligt behandling af personoplysninger.

Jeg møder mange virksomheder der mener, at compliance med GDPR-data er ligetil: De indtaster blot de risikotermer, de måtte mene at have, i en søgning – navne, e-mailadresser, følsomme udtryk – og så forventer de at finde følsomme data, hvorefter de tænker, at de kan fjerne det. Desværre er denne metode – som jeg kalder “Simple søgning” – ikke nær grundig nok til rent faktisk at fange de filer med følsomt indhold som virksomheden har. Det er der flere grunde til:

• Mængden af data: Det er urealistisk at gennemgå millioner af filer manuelt—det er langsomt og kan ikke skaleres.
• Menneskelig faktor: Selv den mest grundige medarbejder kan overse vigtige filer eller misforstå, hvad der er følsomt. Det gør manuelle søgninger mangelfulde og risikofyldte.
• Utilstrækkelige søgemuligheder: Medarbejdere er simpelthen ikke klar over, alle de følsomme termer der findes i deres filer, hvilket gør det umuligt at vide, hvad de skal søge efter.
• Udviklingen af følsomme udtryk: GDPR ændrer sig løbende, nye risikoudtryk opstår, og hver virksomhed har sine egne definitioner af, hvad der er følsomt.
• Data gemmer sig også i billeder: Følsomme oplysninger kan ligge i billeder, scannede dokumenter eller håndskrevne noter, hvilket kan være omstændigt at kigge igennem.
• Konteksten er afgørende: Ord som “COVID” eller “muslim” er ikke følsomme i sig selv—men bliver det, når de knyttes til en person i f.eks. en HR- eller helbredssammenhæng.
• Sprog og format varierer: Følsomme oplysninger kan fremstå i mange forskellige sprog og formater. Et CPR-nummer i Danmark ser anderledes ud end et social security number i USA.

I det andet ringhjørne finder man Avanceret søgning, som søger efter følsomme udtryk via en mere systematisk tilgang. Avanceret søgning benytter en kombination af avancerede teknologier for effektivt at identificere følsomme data. Først anvendes mønstergenkendelse (LM), herunder regulære udtryk (RegEx), som præcist genkender specifikke datamønstre såsom telefonnumre og e-mails. Derudover bruges Modulus 11-algoritmen specifikt til validering af CPR-numre, hvilket sikrer korrekt identifikation af personnumre. Avancerede sprogmodeller (LLM) tilfører kontekstforståelse og kan dermed vurdere, om data er følsomme baseret på den sammenhæng, de optræder i. Endelig inkluderer avanceret søgning også OCR-teknologi (Optical Character Recognition), der gør det muligt at opdage og læse følsomme oplysninger, selv når de findes i billeder, screenshots eller scannede PDF-dokumenter.

Når det så kommer til hvad Avanceret søgning søger efter, så benytter Avanceret søgning taksonomier, som er strukturerede klassifikationssystemer med foruddefinerede kategorier af følsomme data. Lidt mere konkret fungerer disse taksonomier som specialudviklede lister med GDPR-relevante termer og datatyper, hvilket sikrer, at alle følsomme data identificeres præcist og ensartet på tværs af virksomhedens systemer.

Disse kombinationer af teknologier sikrer en datasøgning, som på alle måder er mere omfattende, præcis og effektiv end en Simpel søgning.

Ud over problemer relateret til identifikation af GDPR-termer, er der yderligere grunde til, at Simpel søgning ikke er holdbar for rent faktisk at overholde GDPR.

1. Ingen rapporteringsværktøjer
En anden ulempe ved simpel søgning er manglen på rapporterings- eller dokumentationsværktøjer. Når man benytter Simpel søgning, får man ikke mulighed for at spore, hvad der er blevet fundet, eller hvad der stadig lurer uopdaget. Compliance-indsatsen bliver fragmenteret, med ringe ansvarlighed eller overblik, hvilket kan skabe et regulatoriske mareridt.

Avanceret søgning giver derimod et dashboard og rapporteringsfunktioner. Med disse værktøjer får ledelsen mulighed for at følge med i compliance-indsatsen – herunder statistik for GDPR-fremskridt, lokalisering af risici og mulighed for at følge hver enkelt medarbejders GDPR-oprydning. Denne gennemsigtighed er ikke kun betryggende; det er afgørende for datarevisioner. I stedet for at gætte har virksomheder statistik, der beviser, at compliance-indsatsen er grundig og effektiv.

2. Tidsfaktoren
Lad os tale om effektivitet. Manuelle søgninger tager utallige timer og trækker medarbejderne væk fra produktive opgaver. I modsætning hertil løfter Avancerede søgning den tunge del af GDPR-oprydningen, hvilket væsentligt reducerer den tid, det kræver. Automatiserede scanninger kører problemfrit i baggrunden og løbende overvågning af data sker på tværs af hele virksomheden. I praksis betyder det, at i stedet for at bruge flere timer ugentligt på manuelt at kontrollere filer, kræves der minimal tid til at gennemgå scanningsresultater.

Efter at have snakket med mange virksomheder, der bruger Simpel søgning, har jeg erfaret, at det tager i gennemsnit en medarbejder 20 timer om året at finde, verificere og slette filer med følsomt indhold på et niveau der er tilfredsstillende for at opfylde kravene i GDPR. Den tid kan et værktøj, der benytter Avanceret søgning reducere til 1-1,5 timer. Plus at værktøjet er langt mere grundig.

3. Manglen på proaktivitet
Den måske mest afgørende fordel ved Avanceret søgning er dens proaktive tilgang til risikostyring. Manuel søgning registrerer kun oplysninger, man eksplicit søger efter. Hvis man ikke ved, at der er en risiko, bliver den ikke fundet. Det skaber en blinde plet, som kan have alvorlige konsekvenser, lige fra store GDPR-bøder til skade på virksomhedens omdømme. Avancerede værktøjer identificerer proaktivt risici på tværs af hele datamiljøet og markerer potentielle trusler, så snart de optræder i virksomhedens systemer.

4. Uddannelse gennem oprydning
Endelig tilbyder Avanceret søgning en uventet bonus – det uddanner medarbejderne. I stedet for at compliance føles som en meningsløs opgave, får medarbejderne indsigt i, hvorfor visse praksisser med data er risikable. Avancerede søgning forklarer til medarbejderne, hvorfor specifikke filer eller placeringer markeres som følsomme, og det hjælper medarbejderne med at forstå og forbedre deres datahåndtering. Over tid transformerer dette virksomhedens kultur, skaber opmærksomhed og en proaktiv tankegang i forhold til databeskyttelse.

Hvis I søger efter GDPR-termer manuelt, er jeg desværre nødt til at sige, at I formentlig ikke har fjernet jeres GDPR-risici for jeres virksomhed. Manuel søgning har, som nævnt, mange begrænsninger, der gør det ineffektivt i forhold til at finde følsomme data. Det primære problem er, at medarbejderne simpelthen ikke ved hvilke følsomme termer, der er gemt i deres filer. Uden at vide præcis, hvilke termer man skal søge efter, er det umuligt at sikre ordentlig databeskyttelse. Herudover kan manuel søgning ikke finde følsomme oplysninger skjult i billeder, scannede PDF’er eller skærmbilleder, og mange interne systemer mangler helt indbyggede søgefunktioner.

Hos Safe Online har vi udviklet en GDPR-risikovurdering, som løser netop disse udfordringer. Risikovurderingen bruger avancerede analyseteknikker til at identificere persondata på tværs af systemer, vurdere eksponering og risici og give jer et samlet overblik – uden at være afhængige af manuel søgning.