Engelsksprogede PII-værktøjer: et GDPR-ansvar
Opdateret for 2026
Håndhævelsesvirkeligheden
GDPR handler om resultater, ikke indsats. En virksomhed kan anvende et PII-detektionsværktøj i god tro. Men hvis det pågældende værktøj overser franske, tyske eller polske ID-numre, har virksomheden stadig overtrådt artikel 32. Reglen kræver "passende tekniske foranstaltninger." Et værktøj, der ikke kan finde ID-numrene i dine data, opfylder den ikke. Gode intentioner ændrer ikke ved det.
"Vi brugte et værktøj"-forsvaret holder ikke. Tilsynsmyndigheder ser på de konkrete værktøjer. Når et engelskbaseret værktøj har behandlet flersprogede data, er artikel 32 det centrale spørgsmål.
Det er et reelt håndhævelses mønster. Det er set i GDPR-sager på tværs af EU.
Hvad tilsynsmyndigheder finder
GDPR-data fra 2024 viser, at artikel 32-overtrædelser er blandt de hyppigste bødeårsager. Virksomheder anfører automatiserede anonymiseringsværktøjer som bevis for tekniske foranstaltninger. Tilsynsmyndigheder undersøger derefter, om disse værktøjer faktisk virker.
For globale arbejdsgivere er risikoen systemisk. Tag en HR-platform. Den fjerner persondata inden analyse. Den kan fjerne engelske e-mailadresser og telefonnumre. Men den efterlader franske NIR-numre, tyske Steuer-ID'er og polske PESEL-numre intakte. Svenske personnumre forbliver også.
Virksomheden tror, data er renset. Tilsynsmyndigheden finder, at 40% af ID-numrene i det "anonymiserede" datasæt stadig er der. Det drejer sig om nationale ID-numre, som værktøjet aldrig dækkede.
Identifikatorformater, som engelsksprogede værktøjer overser
EU-nationale ID-numre adskiller sig fra amerikanske og generiske formater. Engelsksprogede værktøjer fejler på dem:
Tysk Steuer-Identifikationsnummer: 11-cifret format med kontrolsum. Værktøjer bygget til amerikanske CPR-numre (9 cifre) fanger det ikke.
Fransk NIR (numéro de sécurité sociale): 15-cifret format. Koder køn, fødselsår og departement. Generiske ID-mønstre matcher ikke.
Svensk personnummer: 10 eller 12 cifre med et Luhn-kontrolciffer. Formatet ændres for personer født før 1990. Generiske mønstre mangler denne logik.
Polsk PESEL: 11 cifre med fødselsdato og køn kodet ind. Uden kontrolsumcheck bliver falsk positivraten for høj.
Dette er almindelige identifikatorer. Enhver EU-arbejdsgiver, sundhedsudbyder eller finansiel virksomhed, der håndterer tyske, franske, svenske eller polske data, vil støde på dem. De er ikke sjældne. Se vores entity-reference for en fuld liste over understøttede ID-typer.
GDPR er resultatbaseret
GDPR artikel 32 kræver "passende tekniske og organisatoriske foranstaltninger." Målestokken er resultater. Brugte organisationen et værktøj? Det er ikke det rette spørgsmål. Beskyttede værktøjet de persondata, det behandlede? Det er det rette spørgsmål.
For organisationer med flersprogede EU-data betyder "passende", at tyske Steuer-ID'er detekteres i samme gennemgang som engelske e-mailadresser. En organisation, der fanger 95% af engelsk indhold men 0% af tyske nationale ID-numre, har ikke opfyldt standarden. Hullet fejler for de tyske data.
Flersproget dækning er ikke valgfrit. Det er en del af, hvad artikel 32 kræver. Punkt færdig. Vores GDPR compliance-guide dækker den fulde ramme.
Sådan evaluerer du dit værktøj
Det rette spørgsmål til dit værktøj er enkelt. Kan det finde e-mailadresser på ethvert sprog? Det er mindre afgørende. Kan det finde de nationale ID-formater i dine faktiske data? Det er den reelle test.
For EU-aktiviteter, der betjener Tyskland, Frankrig, Polen eller Sverige, kræver dette lokalitetsspecifik genkendelsesdækning. Hvis dit værktøj ikke kan vise solide detektionsrater for disse formater, bør du betragte hullet som en aktiv compliance-risiko. Vores sikkerheds- og compliance-side forklarer, hvordan vi håndterer flersproget dækning.
anonym.legal detekterer tysk Steuer-ID, fransk NIR, svensk personnummer, polsk PESEL og nationale ID-numre for alle EU-stater. Hver genkender bruger kontrolsumvalidering for præcise resultater.