anonym.legal

By · Last updated 2026-06-05

Terug na BlogGDPR & Nakoming

Nederlandse AP: EUR 290M Boete en GDPR-handhawing

Die Nederlandse AP het die EU se grootste dataoorplasingboete uitgereik - EUR 290M teen Uber. BSN (Nederlandse SSN) vereis 11-proef-validasie wat 56% van gereedskap mis.

June 5, 20269 min lees
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

Die Autoriteit Persoonsgegevens (AP) het Uber in Augustus 2024 'n boete van EUR 290 miljoen opgele. Die boete was omdat bestuurderdata na Amerikaanse bedieners gestuur is sonder 'n geldige oorplasingsooreenkomst. Geen GDPR-saak het nog 'n groter boete vir 'n grensoverschrydende oorplasing opgelewer nie. Die AP het ook meer as 21 400 klagtes in 2023 hanteer. Dit maak dit een van Europa se besigste datareguleerders.

Wat die AP in die Uber-saak Gevind Het

Uber het data van bestuurders in Nederland en Frankryk ingesamel. Die data het liggingsberekening, identiteitsdokumente, betalingsrekords, ryrekords en belassinglyers ingesluit. Dit alles is na Amerikaanse bedieners verskuif. Die AP het beslis dat die oorplasingsmetode nie geldig was nie.

Drie bevindinge het die besluit gedryf:

  • Swak oorplasingsmetode: Uber het Bindende Korporatiewe Reels (BCRs) gebruik. Die AP het gevind dat hierdie die omvang of sensitiwiteit van die betrokke bestuurderdata nie gedek het nie.
  • Geen Oorplasings-impakbeoordeling (TIA) nie: Uber kon nie aantoon dat die Amerikaanse reg die ooreengekome oorplasingsbeskermings in stand laat nie.
  • Sensitiewe data deur kombinasie: Liggingsdata, betaling en prestasietelling saam gee 'n gedetailleerde prentjie van elke bestuurder. Die AP het hierdie mengsel as gelykstaande aan sensitiewe persoonlike data behandel.

Die Uber-saak stel 'n duidelike reel. Personeel- en kontrakteurdata wat na die VSA gestuur word, benodig dieselfde TIA en ekstra maatreels as verbruikersdata.

AP-handhawingsfokusse vir 2025

Opgedateer vir 2026

Die AP het drie areas genoem wat dit noukeurig dophou in 2025.

Personeelmonitering: Afstandwerkopsporing is die grootste teiken. Dit sluit in produktiwiteitslogboeke, skermprent, toetsbordopname en afstandliggingsinstrumente. Voor die ontplooiing van so 'n instrument moet maatskappye opteken waarom hulle minder indringende opsies verwerp het.

Grensoverschrydende dataoorplasings: Na die Uber-uitspraak kontroleer die AP oorplasingsmetodes. Maatskappye wat staatmaak op dienste in die VSA, Asie of ander nie-voldoende lande, val binne hierdie omvang. Enige maatskappy wat Amerikaanse sagteware vir HR, projekwerk of klientedata gebruik, moet 'n huidige TIA in leer he.

Geoutomatiseerde besluite: KI-kreditering, aanstelfilters en prestasiestelsels aktiveer Artikel 22-pligte. Die AP teiken organisasies wat geoutomatiseerde besluite neem sonder 'n werklike menslike hersiening. Werkers en verbruikers moet albei gedek word.

Die BSN: 'n Beskermde Nasionale Identifiseerder

Die Burgerservicenummer (BSN) is 'n 9-syfer-ID-nommer wat in Nederland gebruik word. Dit word gevalideer met die Elfproef (elftal-toets). Om die toets uit te voer: vermenigvuldig elke syfer met 'n gewig van 9 af tot -1, tel die resultate op, en die totaal moet deur 11 deelbaar wees.

Die BSN-wet (Wet algemene bepalingen burgerservicenummer) beperk BSN-gebruik tot spesifieke wettige kontekste. Dit is: belasting, gesondheidsorg, owerheid en werkgewersalaris. Die gebruik van 'n BSN buite hierdie kontekste aktiveer BSN-wet-handhawing. GDPR-aanspreeklikheid is bykomend van toepassing.

Waarom generiese gereedskap BSN's mis: Baie NLP-instrumente sluit nie die Elfproef-toets in nie. Sonder dit word enige 9-syfer-string as 'n moontlike BSN gemerk. Dit skep valse alarme in finansiele en administratiewe dokumente. Foutief-getypte BSN's word ook gemis. Hulle faal die toets maar lyk steeds soos 'n geldige patroon. Sien ons gids vir EU nasionale belasting-ID en PII-opsporing vir 'n volledige vergelyking oor Europese ID-formate.

NER vir Nederlandse Teks

Nederlands (Nederlands) het kenmerke wat modelle wat op Engels opgelei is, struikel laat.

Samegestelde woorde: Nederlands verbind woorde. Persoonsgegevens (persoonlike data) en Burgerservicenummer (burgerskaps-ID-nommer) is elk een enkele woord. Modelle vir Engels verdeel hulle dikwels op die verkeerde punt. Dit breek entiteitsopsporing.

Naamagtervoegsels: Die agtervoegsels -je en -tje kom in voorname voor - Annetje, Hansje. Naammodelle moet beide die basisvorm en die kortvorm hanteer.

Adresformate: Straattipes sluit in Straat, Laan, Weg, Plein en Gracht. Poskodes gebruik vier syfers plus twee letters (byvoorbeeld: 1234 AB). Elke kode wys na 'n enkele straat, sodat dit meer onthul as die meeste Europese poskodes.

IBAN-formaat: Nederlandse IBAN's is 18 karakters: NL + 2 toetssyfers + 4-letter bankkode + 10-syfer-rekeningnommer. Die land het hoe kaartbetalingsgebruik. Finansiele dokumente dra gevolglik baie IBAN's. Vir vertrouensskoringmetodes oor ID-tipes, sien binere PII-opsporing en vertrouensskorering.

Tegniese Kontrolelys vir AP-nakoming

Om aan die AP se huidige standaarde te voldoen, benodig datastelsels:

  1. BSN-opsporing met Elfproef - patroonmassering alleen is nie genoeg nie
  2. Nederlandse NER - 'n model soos spaCy nl_core_news hanteer samegestelde woorde en kortnaams
  3. IBAN-opsporing - formaatbewus, nie generies nie
  4. Subverwerkerrekords vir alle grensoverschrydende oorplasings
  5. TIA's vir Amerikaanse verskaffers - 'n lewendige AP-ouditprioriteit na die Uber-uitspraak

Na Uber is 'n TIA vir Amerikaanse verskaffers 'n basisvereiste, nie 'n beste praktyk nie. Vir 'n volledige ontleding van die uitspraak en sy oorplasingsimplikasies, sien AP Uber-boete en grensoverschrydende oorplasingshandhawing.

Bronne

Verwante Artikels

GDPR & Nakoming

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Nakoming

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Nakoming

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.