Romanian Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) julkaisi vuonna 2024 teknisen arvioinnin, jossa oli hämmästyttävä havainto: 78 % PII-työkaluista, joita käytetään Romanian ulkoistustoiminnoissa, ei havaitse Cod Numeric Personal (CNP) -numeroa asianmukaisella tarkistussumman vahvistuksella. Tälle maalle, joka käsittelee EU-kansalaisten tietoja suuressa mittakaavassa Länsi-Euroopan asiakkaille, tämä luo systeemistä vaatimustenmukaisuuden altistumista.
CNP: Romanian rikkain henkilökohtainen tunniste
CNP on 13-numeroisen kansallisen henkilötunnuksen:
- Numero 1: Sukupuoli ja vuosisata (1=mies 1900-1999, 2=nainen 1900-1999, 5=mies 2000+, 6=nainen 2000+, 7=mies ulkomaalainen asukas, 8=nainen ulkomaalainen asukas, 9=muu asukas)
- Numerot 2-3: Syntymävuoden viimeiset kaksi numeroa
- Numerot 4-5: Syntymäkuukausi (01-12)
- Numerot 6-7: Syntymäpäivä (01-31)
- Numerot 8-9: Maakoodit (01-52, vastaavat Romanian 41 maakuntaa + Bukarestin sektorit)
- Numerot 10-12: Peräkkäinen syntymänumero päivän ja maakunnan sisällä
- Numero 13: Tarkistusnumero (painotettu summa modulus 11)
CNP koodaa sukupuolen, syntymäajan (täydellinen), syntymämaakunnan ja kansalaisuusstatuksen — tehden siitä yhden Euroopan tietorikkaimmista kansallisista tunnisteista. Sukupuolen koodaus numerossa 1 tekee CNP:stä de facto erityisluokan indikaattorin GDPR:n artiklan 9 mukaan (paljastaen biologisen sukupuolen), mikä vaatii lisääntynyttä suojaa.
Tarkistussumman vahvistus: Tarkistusnumeroalgoritmi kertoo ensimmäiset 12 numeroa painoilla (2,7,9,1,4,6,3,5,8,2,7,9), laskee tulokset yhteen, ottaa modulus 11. Jos tulos on 10, tarkistusnumero on 1. Jos tulos on 11, CNP on virheellinen. Muuten tarkistusnumero vastaa tulosta.
78 % työkaluista ei havaitse tätä vahvistusta — mikä tuottaa sekä vääriä positiivisia (mikä tahansa 13-numeroista numeroa merkitään) että vääriä negatiivisia (vaurioituneet CNP-numerot läpäisevät kaavion tunnistamisen, mutta eivät tarkistussummia ja siksi jäävät huomaamatta mahdollisesti virheellisinä tietona, joka vaatii tarkastusta).
Romanian kielen NER: Puuttuva kerros
CNP:n lisäksi Romanian kielen käsittely luo erityisiä NER-haasteita:
Romanian diakriittiset merkit: Romania käyttää merkkejä ș (s-cedilla), ț (t-cedilla), ă, â ja î. Työkalut, jotka on koulutettu ei-romania tekstillä, eivät ehkä tunnista Romanian nimiä, jotka sisältävät näitä merkkejä. Koodausongelmat (UTF-8 vs. Latin-2) perinteisissä Romanian asiakirjoissa luovat lisätunnistushaasteita.
Romanian osoiteformaatit: "Strada" (lyhennetty "Str."), "Bulevardul" (lyhennetty "Bd."), "Aleea" (lyhennetty "Al."), "Calea" (lyhennetty "Cal.") katujen tyypeille. Romanian paikalliset alueet sisältävät sekä kaupunkeja (municipii) että kuntia (comune), joiden nimikäytännöt poikkeavat Länsi-Euroopan osoiteformaatista.
Romanian nimikaavat: Romanian nimet noudattavat erityisiä patronyymin ja kieliopin käytäntöjä. Sama nimi esiintyy eri kielioppimuodoissa riippuen sen kieliopillisesta roolista lauseessa (nominatiivi, genetiivi-datiivi). NER-mallit on käsiteltävä tapausvaihtelua, jotta ne voivat oikein tunnistaa Romanian nimiä asiakirjakonteksteissa.
ANSPDCP:n täytäntöönpanomalli
ANSPDCP:n täytäntöönpanotapaukset seuraavat johdonmukaista mallia, joka paljastaa erityiset tekniset epäonnistumiset, jotka johtavat rikkomuksiin:
BPO-tietovuototapaukset: Puhelinpalvelu- tai IT-tukiorganisaatiot kärsivät tietovuodosta. Tutkimus paljastaa, että jaetut tiedostot, jotka sisältävät Romanian työntekijöiden CNP-numeroita ja EU-asiakkaiden henkilötietoja, on tallennettu ilman riittävää salausta. Vuodon laajuuden arviointi on vaikeaa riittämättömän lokituksen vuoksi — organisaatio ei voi tarkasti määrittää, mitkä tiedot on käytetty.
Terveydenhuollon tietojen altistuminen: Potilastiedot, jotka sisältävät CNP-numeroita, terveydenhuoltokorttinumeroita ja diagnoositietoja, jaetaan vahingossa valtuuttamattomille osapuolille (lähetetty väärälle vastaanottajalle, julkaistu väärään pilvitiedostoon). CNP-numeroita ei havaittu tai pseudonymisoitu ennen jakamista, koska organisaation PII-työkalu ei sisältänyt Romanian tunnistustuen.
Rajasiirto ilman suojatoimia: Romanian BPO-organisaatio siirtää EU-asiakkaiden tietoja (mukaan lukien CNP:hen liittyvät tiedot) intialaiselle alihankkijalle tietojen syöttämistä tai käsittelyä varten ilman riittävää siirron vaikutusarviointia ja standardisopimusehtoja. Siirretyissä tiedostoissa olevat CNP-numerot luovat GDPR:n erityisluokan siirtoon liittyvää altistumista.
Romanian GDPR-yhteensopivuutta varten: CNP-tunnistus modulo-11 tarkistussumman vahvistuksella, Romanian kielen NER diakriittitietoisen käsittelyn kanssa ja Romanian kansallisen henkilökortin tunnistus ovat tekninen perusta, jonka ANSPDCP:n täytäntöönpanotiedot osoittavat olevan tarpeen.
Lähteet: