PII & Data Privacy Glossary
Duidelike definisies van sleutel privaatheid, nakoming, en databeskerming terme wat in die bedryf gebruik word.
Privaatheid & Nakoming Terme
Persoonlik Identifiseerbare Inligting (PII)
Enige data wat 'n spesifieke individu kan identifiseer, soos name, e-posadresse, maatskaplike sekerheidsnommers, of telefoonnommers.
Anonimisering
Die onomkeerbare proses van die verandering van data sodat individue nie direk of indirek geïdentifiseer kan word nie.
Pseudonimisering
Die vervanging van identifiseerbare data met kunsmatige identifiseerders (pseudonieme) sodat heridentifikasie 'n apart gehoude sleutel vereis.
De-identifikasie
Die verwydering of verdoeking van persoonlike identifiseerders uit data sodat dit nie meer aan 'n spesifieke individu gekoppel kan word sonder addisionele inligting nie.
Databron
‘n Geïdentifiseerde of identifiseerbare natuurlike persoon wie se persoonlike data deur 'n beheerder of verwerker verwerk word.
Data Beheerder
Die entiteit wat die doeleindes en middele van die verwerking van persoonlike data bepaal.
Data Verwerker
‘n Entiteit wat persoonlike data namens 'n databestuurder verwerk, volgens die beheerder se instruksies.
Toestemming
‘n Vrye, spesifieke, ingeligte, en ondubbelsinnige aanduiding van 'n databron se toestemming tot die verwerking van hul persoonlike data.
Wettige Basis
‘n Wettige grond waarop die verwerking van persoonlike data toegelaat word, soos toestemming, kontrak noodsaaklikheid, wettige verpligting, of legitieme belang.
Data Minimalisering
Die beginsel dat persoonlike data wat versamel word, voldoende, relevant, en beperk moet wees tot wat nodig is vir die beoogde doel.
Reg op Verwydering
‘n Databron se reg om hul persoonlike data te laat verwyder wanneer dit nie meer nodig is nie, ook bekend as die 'reg om vergete te word' onder GDPR.
Data Drabaarheid
Die reg van databronne om hul persoonlike data in 'n gestruktureerde, algemeen gebruikte formaat te ontvang en dit na 'n ander beheerder oor te dra.
Data Beskerming Beampte (DPO)
‘n Aangewese individu wat verantwoordelik is vir die toesig oor 'n organisasie se databeskermingsstrategie en die nakoming van privaatheidsregulasies.
Data Beskerming Impak Assessering (DPIA)
‘n Proses om databeskermingsrisiko's van 'n projek te identifiseer en te minimaliseer, vereis onder GDPR vir hoë-risiko verwerkingsaktiwiteite.
Data Oortreding
‘n Sekuriteitsvoorval waar persoonlike data sonder toestemming toegang verkry, openbaar gemaak, verander, of vernietig word.
Skadu AI
Ongemagtigde gebruik van KI-gereedskap (ChatGPT, Copilot, Gemini) deur werknemers sonder IT-goedkeuring. Shadow AI is 'n hoofoorsaak van PII-datalekkasies, aangesien gebruikers sensitiewe besigheidsdata – klantrekords, pasiëntinligting, finansiële data – direk in KI-aanwysings plak.
Data Minimalisering
'n GDPR-beginsel (Art. 5(1)(c)) wat vereis dat organisasies slegs die minimum persoonlike data wat nodig is vir 'n spesifieke doel insamel en verwerk. In KI-stelsels beteken data-minimalisering anonimisering of verwydering van PII voordat data KI-pyplyne binnegaan, wat voldoeningsrisiko en breukoppervlak verminder.
Regulerende Raamwerke
GDPR (Algemene Databeskermingsregulasie)
Die EU-regulasie wat die verwerking van persoonlike data van individue binne die Europese Ekonomiese Area regeer, effektief sedert Mei 2018.
CCPA (Kalifornië Verbruikersprivaatheidswet)
‘n Kalifornië staatswet wat verbruikers regte toeken oor hul persoonlike inligting wat deur besighede versamel word, effektief sedert Januarie 2020.
HIPAA (Gesondheidsversekering Drabaarheid en Verantwoordelikheid Wet)
‘n Amerikaanse federale wet wat standaarde vestig vir die beskerming van sensitiewe pasiëntgesondheidsinligting teen openbaarmaking sonder toestemming.
ISO 27001
‘n Internasionale standaard vir inligtingssekuriteitsbestuurstelsels (ISMS), wat vereistes spesifiseer vir die vestiging, implementering, en deurlopende verbetering van sekuriteitsbeheer.
SOC 2 (Sisteem en Organisasie Beheer 2)
‘n Ouditraamwerk vir diensorganisasies wat kontroles evalueer wat verband hou met sekuriteit, beskikbaarheid, verwerkingsintegriteit, vertroulikheid, en privaatheid.
EU AI Act
Europese Unie se regulasie oor kunsmatige intelligensie (afgedwing vanaf Augustus 2026). Hoërisiko-KI-stelsels moet databestuursmaatreëls implementeer, insluitend die minimalisering van persoonlike data, dokumentasie en DPIA. Organisasies wat KI vir besluitneming oor individue gebruik, moet verseker dat opleidingsdata geanonimiseer of skuilnaam is.
ISO 42001
Internasionale standaard vir KI-bestuurstelsels (AIMS), gepubliseer in 2023. Verskaf 'n raamwerk vir verantwoordelike KI-ontwikkeling en -ontplooiing, insluitend datakwaliteit, vooroordeelkontroles en privaatheidsbeskermings. Dikwels saam met ISO 27001 vir organisasies wat KI-stelsels met persoonlike data bedryf.
Indië DPDP Act
Indië se Wet op die Beskerming van Digitale Persoonlike Data (2023), afgedwing vanaf 2025. Vereis uitdruklike toestemming vir die verwerking van persoonlike data van Indiese inwoners, datalokalisering vir sensitiewe data, en oortredingkennisgewing binne 72 uur. Van toepassing op organisasies wêreldwyd wat Indiese burgers se data verwerk.
Tegniese Terme
Genoemde Entiteit Erkenning (NER)
‘n NLP-tegniek wat genoem entiteite in teks identifiseer en klassifiseer in vooraf gedefinieerde kategorieë soos persoonlike name, plekke, en organisasies.
Natuurlike Taalverwerking (NLP)
‘n Tak van kunsmatige intelligensie wat rekenaars in staat stel om menslike taal te verstaan, te interpreteer, en te genereer.
Patroonherkenner
‘n Reëlgebaseerde detektor wat gereelde uitdrukkings en konteksindikasies gebruik om spesifieke datapatrone te identifiseer, soos kredietkaartnommers of maatskaplike sekerheidsnommers.
Vertrouensgradering
‘n Numeriese waarde tussen 0 en 1 wat aandui hoe seker 'n deteksie-enjin is dat 'n stuk teks met 'n spesifieke entiteit tipe ooreenstem.
Reguliere Uitdrukking (Regex)
‘n Volgorde van karakters wat 'n soekpatroon definieer, algemeen gebruik om gestruktureerde dataformate soos telefoonnommers of e-posadresse te valideer en te ontdek.
AES-256-GCM
‘n Geverifieerde enkripsie-algoritme wat 'n 256-bis sleutel met Galois/Teller Modus gebruik, wat beide vertroulikheid en integriteitsverifikasie van geënkripteerde data bied.
Zero-Knowledge Enkripsie
‘n Enkripsie-argitektuur waar slegs die gebruiker die ontsleutelsleutel besit, wat beteken dat selfs die diensverskaffer nie toegang tot die gewone data kan verkry nie.
Tokenisering
Die vervanging van sensitiewe data met nie-sensitiewe plekhouer tokens wat teruggekaart kan word na die oorspronklike data deur 'n veilige soektog.
Data Maskering
Die verdoeking van spesifieke data binne 'n dataset sodat sensitiewe inligting versteek word terwyl die data steeds bruikbaar bly vir toetsing of analise.
Redaksie
Die permanente verwydering van sensitiewe inligting uit 'n dokument of dataset, wat dit vervang met 'n merk soos [REDACTED].
Sintetiese data
KI-gegenereerde data wat werklike data statisties naboots sonder om werklike rekords te bevat. In vergelyking met anonimisering: geanonimiseerde data behou hoër analitiese akkuraatheid vir stroomaf ML; sintetiese data skakel heridentifikasierisiko uit, maar stel statistiese drywing in. Omkeerbare anonimisering word verkies wanneer oorspronklike rekords nodig mag wees vir voldoeningsoudits.
LLM Vinnige inspuiting
'n Aanvalstegniek waar kwaadwillige invoer 'n groot taalmodel manipuleer om instruksies te ignoreer of sensitiewe inligting uit te lek. In PII-beskermingskontekste kan vinnige inspuiting veroorsaak dat 'n KI-model anonieme datapatrone of gebruikerinligting openbaar. Pre-anonimisering van insette voordat hulle LLM's bereik, verminder die aanvaloppervlak.
Privaatheid-vir-ontwerp
A GDPR Art. 25 beginsel wat vereis dat databeskerming van die grond af in stelsels ingebou moet word eerder as om dit as 'n nagedagte by te voeg. Vir KI-stelsels beteken privaatheid-deur-ontwerp die anonimisering van data voordat dit KI-pyplyne binnegaan, die implementering van nulkennis-enkripsie en die beperking van databehoud.
Anonimisering Metodes
Vervang
Vervang gedetecteerde PII met 'n generiese plekhouer van dieselfde entiteit tipe, soos om 'John Smith' met '<PERSON>' te vervang.
Masker
Deels verdoek PII deur karakters met maskering simbole te vervang, byvoorbeeld om '123-45-6789' in '***-**-6789' te verander.
Redigeer
Verwyder volledig gedetecteerde PII uit die teks, sonder om 'n spoor van die oorspronklike waarde agter te laat.
Hash
Transformeer PII in 'n vaste-lengte kriptografiese hash, wat konsekwente vervanging moontlik maak terwyl omkering rekenaar-gebaseerd onmoontlik maak.
Enkripteer
Transformeer PII met behulp van AES-256-GCM enkripsie met 'n gebruiker-gehoude sleutel, wat geautoriseerde omkering (de-anonimisering) moontlik maak wanneer nodig.
Gereelde Vrae
Wat is die verskil tussen anonimisering en pseudonimisering?
Anonimisering verwyder onomkeerbaar alle identifiserende inligting sodat heridentifikasie onmoontlik is. Pseudonimisering vervang identifiseerders met kunsmatige terwyl 'n aparte sleutel gehou word wat heridentifikasie toelaat wanneer geautoriseer. Onder GDPR word pseudonimiseerde data steeds as persoonlike data beskou.
Waarom gebruik PII-detektering beide NLP en patroonherkenners?
NLP-modelle detecteer konteksafhanklike entiteite soos persoonlike name en plekke wat nie 'n vaste formaat het nie. Patroonherkenners gebruik gereelde uitdrukkings om gestruktureerde identifiseerders soos maatskaplike sekerheidsnommers, kredietkaartnommers, en telefoonnommers te vang. Die kombinasie van beide benaderings maksimeer deteksie akkuraatheid oor alle entiteitstipes.
Wat is zero-knowledge enkripsie en waarom is dit belangrik?
Zero-knowledge enkripsie beteken slegs jy hou die ontsleutelsleutel — die diensverskaffer kan nie jou data lees nie. Dit is belangrik omdat selfs in die geval van 'n bediener oortreding, jou geënkripteerde data onleesbaar bly sonder jou sleutel, wat die sterkste moontlike databeskerming bied.
Hoe verskil omkeerbare enkripsie van hashing?
Hashing is 'n eenrigting transformasie — sodra data gehash is, kan die oorspronklike nie herstel word nie. Omkeerbare enkripsie (met behulp van AES-256-GCM) laat geautoriseerde gebruikers met die korrekte sleutel toe om te ontsleutel en die oorspronklike data te herstel, wat werksvloei moontlik maak waar de-anonimisering nodig is.