anonym.legal

By · Last updated 2026-06-01

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

EU:n kansalliset tunnisteet, jotka PII-työkalusi jättää huomaamatta

Saksan Steueridentifikationsnummer, Ranskan Numéro fiscal, Italian Codice Fiscale, Espanjan NIF/NIE — Yhdysvaltain markkinoille suunnatut PII-työkalut havaitsevat SSN:t mutta ohittavat useimmat EU:n kansalliset tunnisteet.

June 1, 20267 min lukuaika
EU national identifiersSteueridentifikationsnummerCodice FiscaleNIFmultinational GDPRtax ID detection

GDPR-vaatimustenmukaisuus EU:n jäsenvaltioissa: Mitkä kansalliset tunnisteet PII-työkalusi jättää huomaamatta

Verotunnisteet ovat herkimpiä henkilökohtaisia tunnisteita missä tahansa lainkäyttöalueessa. Niitä käytetään veroilmoituksissa, valtion etuuksissa, työsuhteen todentamisessa ja pankkitilin avaamisessa. Väärissä käsissä ne mahdollistavat identiteettivarkauden, petoksen ja luvattomia etuusvaatimuksia.

GDPR luokittelee ne tavallisiksi henkilötiedoiksi (ei erityiskategoriaksi), mutta niiden herkkyys on korkea ja niiden paljastuminen luo merkittävän todellisen maailman riskin. Jokaisella EU:n jäsenvaltiolla on oma kansallinen tunnistusformaattinsa — ja useimmat PII-työkalut, jotka on rakennettu Yhdysvaltain tai Yhdistyneen kuningaskunnan markkinoille, havaitsevat SSN:t ja NINO:t sujuvasti, mutta ohittavat täysin Steueridentifikationsnummernin, Codice Fiscalen ja BSN:n, joita eurooppalaiset organisaatiot käsittelevät päivittäin.

Euroopan vero-ID-maisema

Jokainen EU:n jäsenvaltio toteuttaa kansallisen tunnistuksen eri tavoin:

Saksa: Steueridentifikationsnummer (Steuer-ID)

  • 11 numeroa, myönnetään syntymässä
  • Formaatti: ensimmäinen numero ei-nolla
  • Esimerkki: 12345678901
  • Myös: Steuernummer (vaihtelee osavaltion mukaan: 10–11 numeroa osavaltion mukaisella formaatilla)

Ranska: Numéro fiscal de référence (SPI)

  • 13 numeroa
  • Myönnetty veroviranomaisen (DGFiP) toimesta
  • Esiintyy usein verodokumenteissa nimellä "Identifiant fiscal"

Italia: Codice Fiscale

  • 16 aakkosnumeerista merkkiä
  • Rakenne: 3 kirjainta (sukunimi) + 3 kirjainta (etunimi) + 2 numeroa (syntymävuosi) + 1 kirjain (kuukausi) + 2 numeroa (päivä) + 4 aakkosnumeerista (kuntakoodi)
  • Esimerkki: RSSMRA85M01H501Z
  • Korkean spesifisyyden formaatti, tarkistettavissa tarkistussummalla

Espanja: NIF (Número de Identificación Fiscal)

  • Espanjalaisille kansalaisille: DNI-numero + tarkistuskirjain (8 numeroa + kirjain), esim. 12345678A
  • Ulkomaalaisille asukkaille: NIE (X/Y/Z + 7 numeroa + kirjain), esim. X1234567A
  • Yrityksille: CIF (kirjain + 8 numeroa), esim. B12345678

Alankomaat: BSN (Burgerservicenummer)

  • 9 numeroa tarkistusmerkkivalidoinnilla (11-proef-algoritmi)
  • Käytetään kaikissa valtion palveluissa ja esiintyy usein työsuhde- ja etuusasiakirjoissa

Puola: PESEL

  • 11 numeroa, jotka koodaavat syntymäajan, sukupuolen ja järjestysnumeron
  • Formaatti: VVKKPP-XXXXX (syntymäaika koodattu ensimmäiseen 6 numeroon)

Belgia: Numéro de registre national (RN)

  • 11 numeroa, jotka koodaavat syntymäajan, järjestyksen ja tarkistusnumerot

Portugali: NIF (Número de Identificação Fiscal)

  • 9 numeroa tarkistusnumerolla
  • Formaatti eroaa Espanjan NIF:stä huolimatta samasta lyhenteestä

Ruotsi: Personnummer

  • 10 tai 12 numeroa, jotka koodaavat syntymäajan ja järjestysnumeron
  • Formaatti: VVVVKKPP-XXXX tai VVKKPP-XXXX

Suomi: Henkilötunnus (HETU)

  • 11 merkkiä, jotka koodaavat päivämäärän, erottimen, järjestyksen ja tarkistusmerkin
  • Formaatti: PPKKVV-XXXC

Mitä vakiotyökalut jättävät huomaamatta

Yhdysvaltain/Yhdistyneen kuningaskunnan markkinoille rakennetut PII-havaitsemistyökalut sisältävät tyypillisesti:

  • US SSN (XXX-XX-XXXX)
  • UK NINO (XX 99 99 99 X)
  • Yhdysvaltain passinumerot
  • Yhdysvaltain ajokorttikuviot
  • Tärkeimmät luottokorttinumerot

Eurooppalaiset kansalliset tunnisteet — jopa suuret kuten Codice Fiscale, BSN ja Steuer-ID — puuttuvat usein oletuskonfiguraatioista. Presidion oletustunnistusjoukkoa ilman EU-spesifisiä laajennuksia käyttävät työkalut jättävät nämä kokonaan huomaamatta.

Monikansallisten organisaatioiden operatiivinen vaikutus

Saksalainen palkanlaskennan ulkoistusyritys käsittelee asiakirjoja 500 asiakasyritykselle. Heidän anonymisointityönkulkunsa poistaa oikein:

  • Työntekijöiden nimet ✓
  • Sähköpostiosoitteet ✓
  • IBAN-numerot ✓
  • Puhelinnumerot ✓
  • Saksalaiset Steueridentifikationsnummernit ✗ — ei heidän vakiokonfiguraatiossaan

Tietosuojavaltuutetun tilintarkastuslöydös toteaa, että asiakkaiden kirjanpito-osastoille jaetut palkkakuitit-PDF:t sisältävät redaktoimattomia Steuer-ID:itä. Yritys kohtaa:

  • Historiallisten asiakirjojen korjaamiskustannukset
  • Tietosuojavaltuutetun täytäntöönpanotoimet (mahdollinen sakko GDPR:n artiklan 83 nojalla)
  • Sopimuksellinen vastuu asiakkaille, joiden työntekijöiden tiedot paljastuivat

Vaatimustenmukaisuusaukkoa ei löydetty ennakoivasti — valvoja löysi sen ensin.

EU-kattavuuden prioriteettijärjestys

Organisaatioille, jotka toimivat useissa EU-jäsenvaltioissa, mukautetun yksikkökonfiguraation prioriteettijärjestys:

Taso 1 (suurin datakäsittelyvolyymi):

  1. Saksa: Steueridentifikationsnummer (työsuhde painotteiset asiakirjat)
  2. Ranska: Numéro fiscal (palkanlaskenta, veroasiakirjat)
  3. Italia: Codice Fiscale (erittäin yleinen, esiintyy kaikissa virallisissa asiakirjoissa)
  4. Espanja: NIF/NIE (palkanlaskenta, sopimukset, veroasiakirjat)
  5. Alankomaat: BSN (työsuhde, valtion etuudet)

Taso 2 (merkittävät mutta pienemmät markkinat): 6. Puola: PESEL (kasvava merkitys Puolan työvoimakoon myötä) 7. Belgia: RN (Belgiassa on monia EU-instituutioita) 8. Ruotsi: Personnummer (korkea tietosuojallisuus, tiukka täytäntöönpano) 9. Portugali: NIF (kasvava teknologiasektori) 10. Itävalta: Sozialversicherungsnummer (sosiaaliturvan konteksti)

Taso 3 (erityiset käyttötapaukset): Loput 17 EU-jäsenvaltiota sen mukaan, missä organisaatiosi käsittelee dataa.

Toteutusesimerkki: Steueridentifikationsnummernin lisääminen

Saksalainen verotilinumero (Steuer-ID) noudattaa tiettyä formaattia, joka voidaan havaita korkealla tarkkuudella:

Kuvion ominaisuudet:

  • 11 numeroa
  • Ensimmäinen numero: 1–9 (ei koskaan 0)
  • Ei kolmea identtistä peräkkäistä numeroa
  • Tarkistusnumerovalidointi (mukautettu algoritmi)

Selkokielinen kuvaus kuviogeneraatiota varten: "Saksalaiset verotusnumerot: 11-numeroiset numerot, joissa ensimmäinen numero on 1–9 ja loput 10 numeroa voivat sisältää nollia"

Validointi: Testaa saksalaisten palkkakuittien ja verotodistusten näytteiden joukolla. Varmista havaitsemistaso ja väärän positiivisen taso ennen tuotantokäyttöönottoa.

Integrointi: Lisää saksankielisten asiakirjojen käsittelyn esiasetukseen. Jos käsittelet monikielisiä asiakirjajoukkoja, yhdistä kielentunnistuksen kanssa soveltaaksesi asianmukaisia kansallisia tunnistekuvioita kuhunkin kieleen.

Useiden kansallisten tunnisteiden käsittely yhdessä työnkulussa

Monikansallisille palkanlaskennan käsittelijöille, jotka käsittelevät asiakirjoja useista EU-maista:

Vaihtoehto 1: Erillinen esiasetus per maa Luo "Saksa GDPR" -esiasetus, "Ranska GDPR" -esiasetus jne. Sovella asianmukaista esiasetusta asiakirjan alkuperän perusteella.

Vaihtoehto 2: Yhdistetty EU-esiasetus Luo yksi esiasetus, jossa kaikki EU:n kansallisten tunnisteiden kuviot ovat aktiiviset. Korkeampi väärän positiivisen riski yleistekstissä, mutta operatiivisesti yksinkertaisempi.

Palkanlaskenta-asiakirjoille: vaihtoehto 1 (maakohtaiset esiasetukset) asianmukaisella reitityksellä Sekatiedoille: vaihtoehto 2 kynnysvirityksen kanssa

Päätelmä

GDPR soveltuu yhdenmukaisesti koko EU:ssa, mutta Yhdysvaltain markkinoille rakennetut PII-havaitsemistyökalut eivät useinkaan tee niin. Codice Fiscale, BSN ja Steueridentifikationsnummer ovat yhtä herkkiä kuin SSN:t — ja yhtä todennäköisiä esiintymään asiakirjoissa, joita organisaatiot jakavat, vievät ja analysoivat.

Mukautettu yksikönluonti sulkee havaitsemisaukon mille tahansa kansalliselle tunnistusformaatille tunteissa. Vaatimustenmukaisuustiimit voivat lisätä Steuer-ID-kuvion, testata sitä saksalaisten palkkakuittien näytteitä vastaan ja ottaa sen käyttöön kaikissa käsittelytyönkuluissa odottamatta, että työkalutyöittäjä lisää sen oletuskonfiguraatioonsa.

Tietosuojavaltuutetun tilintarkastuslöydös, joka paljasti puuttuvan Steuer-ID-havaitsemisen, olisi voitu löytää ennakoivassa vaatimustenmukaisuustarkistuksessa, joka olisi kestänyt yhden iltapäivän.

Lähteet

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.