anonym.legal

By · Last updated 2026-05-18

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

IMY Ruotsi: Henkilönumero, Samordningsnummer ja...

IMY havaitsi, että 45 % yleisistä työkaluista ei tunnista ruotsalaista henkilönumeroa.

May 18, 20267 min lukuaika
Sweden IMYpersonnummer LuhnsamordningsnummerSwedish GDPR technicalNordic compliance

Ruotsin Integritetsskyddsmyndigheten (IMY) tekninen arviointi käyttöönotetuista PII-työkaluista havaitsi 45 %:n epäonnistumisasteen henkilönumeron tunnistamisessa — Ruotsin ensisijaisessa kansallisessa tunnisteessa. Koska 79 % ruotsalaisista rekisteröidyistä käyttää vuosittain GDPR-oikeuksiaan (korkein osuus EU:ssa), automatisoidun PII-tunnistuksen tarkkuus vaikuttaa suoraan toiminnalliseen vaatimustenmukaisuuteen.

Henkilönumero: Luhn-validointi ja Samordningsnummer-ongelma

Ruotsalaisen henkilönumeron (henkilöllisyysnumero) muoto: YYMMDD-XXXX (10 merkkiä) tai YYYYMMDD-XXXX (12 merkkiä). Viimeinen numero validoidaan Luhn-algoritmilla.

Luhn-algoritmi: Kaksinkertaista jokainen toinen numero oikealta vasemmalle. Jos kaksinkertaistaminen tuottaa kaksinumeroisen luvun, laske numerot yhteen. Laske kaikki numerot yhteen. Tuloksen on oltava jaollinen 10:llä.

Luhn-algoritmi on jaettu luottokorttinumeroiden ja SIN:n (Kanadan sosiaaliturvatunnus) kanssa. Kuitenkin henkilönumeron päivämääräkomponentti (YYMMDD) luo erityisiä validointirajoituksia, jotka poikkeavat taloudellisten tilien Luhn-validoinnista.

Samordningsnummer-ongelma: Ruotsin koordinaatinumero ulkomaalaisille asukkaille, jotka tarvitsevat tunnistusta ennen henkilönumeron saamista, käyttää samaa muotoa — mutta lisää 60 syntymäpäivän numeroihin:

  • Henkilönumero syntynyt 15. tammikuuta: YYMMDD = YY0115
  • Samordningsnummer samalle syntymäpäivälle: YYMMDD = YY0175 (15 + 60 = 75)

Tämä tarkoittaa, että samordningsnummer käyttää syntymäpäiväarvoja 61-91 (sen sijaan, että 01-31 olisi henkilönumerolle). Toteutukset, jotka validoivat henkilönumeroa tarkistamalla syntymäpäivän 01-31-välistä, hylkäävät voimassa olevat samordningsnummerit — ja jäävät tunnistamatta ulkomaalaisten asukkaiden koordinaatinumerot ruotsalaisissa työsuhdedokumenteissa.

Ruotsin ulkomailla syntynyt väestö edustaa noin 20 % koko väestöstä. Työnantajille, terveydenhuollon tarjoajille ja rahoituspalveluille, jotka käsittelevät ulkomaalaisten asukkaiden tietoja, samordningsnummer-ongelma tarkoittaa, että merkittävä osa heidän väestönsä ensisijaisista tunnisteista jää havaitsematta.

IMY:n käytännön anonymisointivaatimukset

IMY:n anonymisointiohje (2023) — EU:n yksityiskohtaisin tekninen ohje anonymisoinnista, jota viitataan 12 muussa DPA:ssa — asettaa seuraavat vaatimukset organisaatioille, jotka käsittelevät ruotsalaista henkilötietoa:

k-anonymiteetti ≥ 5: Tutkimukseen, analytiikkaan tai toissijaiseen käyttöön julkaistavien tietoaineistojen on saavutettava vähintään k=5 (jokainen yksilö on erottamaton 4 muusta kaikilla lähes tunnistavilla ominaisuuksilla). Ruotsalaisissa tietoaineistoissa lähes tunnistavat tekijät sisältävät tyypillisesti iän, sukupuolen, kunnallisen alueen ja ammatin — näiden yhdistelmät kaventavat nopeasti pieniin ryhmiin, ottaen huomioon Ruotsin suhteellisen pienen väestön.

l-monimuotoisuus terveysdatalle: Tietoaineistoille, jotka sisältävät terveys- tai taloustietoja, l-monimuotoisuuden on oltava osoitettavissa k-anonymiteetin lisäksi — estäen johtopäätöshyökkäykset, joita k-anonymiteetti yksin ei estä.

Virallinen vahvistus: Toisin kuin monissa EU:n DPA-ohjeissa, IMY toteaa nimenomaisesti, että anonymisointivaatimuksia on voitava vahvistaa — organisaation on pystyttävä osoittamaan teknisen dokumentaation avulla, että k-anonymiteetti ja l-monimuotoisuuden kynnysarvot täyttyvät, eikä vain väittää noudattavansa sääntöjä.

79 % Oikeuksien käyttämisaste: Toiminnalliset vaikutukset

Ruotsin poikkeuksellisen korkea GDPR-oikeuksien käyttämisaste (79 % vuosittain — IMY 2024 -kysely) luo toiminnallisia vaatimuksia, joita organisaatioiden, jotka käsittelevät ruotsalaista henkilötietoa, on ennakoitava:

Pääsyoikeus: Ruotsalaiset rekisteröidyt pyytävät säännöllisesti täydellisiä kopioita kaikista heistä pidettävistä henkilötiedoista. Yritykselle, jolla on 50 000 ruotsalaista asiakasta, tämä tarkoittaa noin 39 500 pääsypyyntöä vuodessa — jokainen vaatii vastauksen 30 päivän kuluessa.

Poisto-oikeus: Ruotsalaiset rekisteröidyt käyttävät usein poisto-oikeutta tilin sulkemisen tai palvelun päättämisen jälkeen. Organisaatioiden on pystyttävä toteuttamaan täydellinen poisto kaikissa järjestelmissä — ei vain ensisijaisessa tietokannassa, vaan myös varmuuskopioissa, analytiikka-alustoilla ja AI-koulutusdatassa.

Automaattinen vastausinfrastruktuuri: 79 %:n käyttämisasteella oikeuspyyntöjen manuaalinen käsittely ei ole toiminnallisesti mahdollista. Ruotsalaisilla käyttäjäkunnilla varustetuilla organisaatioilla on tarpeen olla automatisoidut henkilötietovarastot ja -hakujärjestelmät, jotka pystyvät vastaamaan oikeuspyyntöihin suuressa mittakaavassa.

PII-tunnistus, joka tunnistaa oikein henkilönumerot (Luhn-validoinnilla), samordningsnummerit (60-offset-päivä käsittelyllä) ja ruotsinkielinen NER mahdollistaa automatisoidun henkilötietovaraston, jota Ruotsin oikeuksien käyttökulttuuri toiminnallisesti vaatii.

Lähteet:

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.