Защо европейските идентификатори са структурно различни
Създадените в САЩ инструменти за лична информация приемат структура на идентификатор, базирана на американски формати: номера на социална осигуровка (AAA-BB-CCCC), телефонни номера в САЩ (XXX-XXX-XXXX), формати на шофьорска книжка в САЩ по държави и пощенски кодове в САЩ (XXXXX или XXXXX-XXXX). Тези инструменти не са предназначени за европейски формати на идентификатори — а европейските формати не са незначителни варианти на американските формати. Те са структурно различни, културно различни и са законово определени от националното законодателство, което няма еквивалент в САЩ.
Германският Steuer-ID илюстрира структурната разлика. 11-цифреното число използва специфичен алгоритъм за контролна сума - първата цифра не може да бъде 0, нито една цифра не може да се появи повече от три пъти последователно и математическа формула, включваща позициите на цифрите, произвежда крайната контролна цифра. Алгоритъмът за валидиране е публикуван от Bundeszentralamt für Steuern. SSN регулярен израз за САЩ няма да съответства на Steuer-ID. Логиката за проверка на контролната сума за SSN няма да потвърди Steuer-ID.
Френският NIR (Numéro de Sécurité Sociale) е 15 цифри. Структурата е семантично значима: позиция 1 кодира пола (1 = мъж, 2 = жена), позиции 2–3 кодират последните две цифри от годината на раждане, позиции 4–5 кодират месеца на раждане, позиции 6–7 кодират отдела на раждане, позиции 8–10 кодират общината, позиции 11–13 кодират реда в общността, а позиции 14–15 са извлечен ключ за проверка от разделяне на 13-цифреното число на 97. NIR не се открива от нито един регулярен израз на идентификатор в американски формат. Изисква специфично за страната изпълнение.
Паневропейските пропуски в съответствието
Докладът на IBM за 2025 г. за цената на нарушаване на данните за сигурност установи, че $10,22 милиона са средните разходи за нарушение на сигурността на данните в здравеопазването — най-високата от всички сектори. Високите разходи за нарушение в сектора на здравеопазването отразяват както обема на включените чувствителни данни, така и сложността на изискванията за съответствие. Когато нарушенията включват неадекватна деидентификация на споделени изследователски данни — както се случва в 50% от случаите на нарушение на здравните грижи — комбинацията от неадекватно откриване на идентификатор на ЕС и споделени изследователски данни създава систематичен риск.
Паневропейски доставчик на софтуер за човешки ресурси, обработващ документи за включване на клиенти в 18 държави от ЕС с създаден в САЩ инструмент за идентифициране на лични данни, не открива 14 от националните идентификатори на 18 държави. Пропускът е систематичен: всеки документ, обработен от този инструмент, който съдържа Steuer-ID, NIR, Personnummer, Fodselsnummer или друг специфичен за ЕС идентификатор, оставя този идентификатор открит.
Пълни изисквания за покритие в ЕС
Минималното покритие на ЕС за съответствие със GDPR изисква:
DACH (Германия, Австрия, Швейцария): немски Steuer-ID и Reisepass; австрийски Sozialversicherungsnummer; Swiss AHV-Nr (13-цифрен с контролна цифра)
Франция: NIR (15-цифрен социалноосигурителен номер), Carte Vitale, SIRET (14-цифрен), SIREN (9-цифрен)
Великобритания (еквивалент на GDPR след Брекзит): NHS номер (10-цифрен), национален осигурителен номер (формат AA-NN-NN-NN-A), UTR (10-цифрен)
Скандинавски: шведски Personnummer (YYMMDD-XXXX), норвежки Fodselsnummer (11-цифрен), финландски Henkilotunnus (DDMMYY-XXXX), датски CPR (DDMMYY-XXXX)
Южен ЕС: испански DNI/NIE, италиански Codice Fiscale (16 буквено-цифрови знака), полски PESEL (11-цифрен), чешки Rodne Cislo
Организациите, които заменят създадените от САЩ инструменти с всеобхватно покритие за ЕС, обикновено откриват, че предишната им деидентификация е постигнала 30–40% покритие на идентификатори в ЕС – оставяйки по-голямата част от европейските национални идентификатори в техните „деидентифицирани“ набори от данни.
Източници:
- [IBM 2025 г.: $10,22 милиона средни разходи за нарушение на здравните грижи — най-висок сектор] (https://www.ibm.com/reports/data-breach)
- [Bundeszentralamt fur Steuern: немски алгоритъм за валидиране на Steuer-ID] (https://www.bzst.de/EN/Private_individuals/Tax_identification_number/tax_identification_number_node.html)
- [GDPR Член 32: Технически мерки за защита на личните данни в ЕС] (https://gdpr-info.eu/art-32-gdpr/)