anonym.legal
Terug na BlogGDPR & Nakoming

Globale privaatversoenbaarhede: Waarom...

Sakboekbesturingsengineurs dink dat 'n enkele "privaat-tool" al GDPR, CCPA, en PDPA-vereistes sal dien. Dit is 'n dwaling met ernstige gevolge.

April 21, 20268 min lees
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

Die Skaalkwessie

Vroeg daarvan, het 'n organisasie 'n enkele "anonimiseringsprogram" gebou wat:

  • GDPR-persoonlike data-tipes herkenne (GDPR Artikel 4(1))
  • Operateurs op PII twee: Redaksie, Vervanginge, Masering, Hash
  • Resultateverslae genereer

Later, wanneer die organisasie in Kalifornië (CCPA) en Thailand (PDPA) bedryf, dink bestuurders: "Ons gereedskap doen anonimering; dit sal werk vir al die jurisdiksies."

But dié drie jurisdiksies het verskillende tïne van wat "privacy-konforme anonimering" beteken:

GDPR: "Irreversibel Anoniem"

GDPR Artikel 4(1) en Rondskrif 05/2014 van die Europese Werkgroep sê dat anoniem data is wat:

  • Tegnies irreversibel moet wees (jy kan nooit die persoonlike data terugskerm nie)
  • Prakties irreversibel moet wees (dit is baie moeilik of baie duur om terug te kry)

Voor GDPR-versoenbaarhede, moet anonimering:

  • Hash (MD5, SHA-256) met irreversibel funksies wees
  • Generalisering (byvoorbeeld, ouderdom → "50-60 jaar") wees
  • Data-vernietiging (geledigde kolom) wees

Reversiële anonimering (byvoorbeeld, enkriptasie met terugskermingssleutel) is GDPR nie anoniem nie, omdat dit reversibel is.

CCPA: "Identifiseringsopsie"

Die Kaliforniese CCPA het 'n verskillende siening. CCPA § 1798.140(ag) sê dat "gedeaggregeerde, anoniem, of pseunoniem inligting" "persoonlike inligting" nie is.

The CCPA is voller:

  • Anoniem: Data kan prakties nie met 'n persoon geassosieer word nie (geslyk aan GDPR, maar minder streng)
  • Pseunoniem: Data kan net met 'n "private identifiseerder" geassosieer word, wat apart opgestoor is

Maar CCPA het ook 'n "identifiseringsopsie": as die organisasie die mogel het om die anoniem data terug te koppel aan die persoon (byvoorbeeld, omdat jy die "private identifiseerder" het), dan is dit nogsteeds "persoonlike inligting" onder CCPA.

Vir CCPA-versoenbaarhede, mag anonimering:

  • Reversibel wees (byvoorbeeld, enkriptasie), solank jy die sleutel apart stoor
  • Enkriptasie-gebaseer wees (wat GDPR nie toelaat nie)

PDPA Thailand: "Praktieselyk Imverpersoonliking"

Die Thaise PDPA is geslyk aan GDPR (beide is ou jurisdiksies), maar het 'n verskille:

  • PDPA sê dat "anoniem data" is wat die persoon "prakties" nie kan geïdentifiseer word nie
  • PDPA het minder streng on die "irreversibel" vereiste as GDPR

Vir PDPA-versoenbaarhede, mag anonimering:

  • Hash wees (soos GDPR)
  • Generalisering (soos GDPR)
  • Vernietiging (soos GDPR)
  • Maar ook: "praktieslike vermoeiing" om die persoon te identifiseer (soort reversibel, as dit moeilik genoeg is)

Verwante Artikels

GDPR & Nakoming

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Nakoming

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Nakoming

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke