anonym.legal

By · Last updated 2026-06-05

Kembali ke BlogGDPR & Kepatuhan

AP Belanda: Denda €290 Juta & Penegakan GDPR

AP Belanda menjatuhkan denda transfer data terbesar di UE — €290 juta terhadap Uber. BSN (nomor jaminan sosial Belanda) memerlukan validasi 11-proef yang terlewat oleh 56% alat.

June 5, 20269 menit baca
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

Autoriteit Persoonsgegevens (AP) mendenda Uber sebesar €290 juta pada Agustus 2024. Denda ini dijatuhkan karena Uber mengirim data pengemudi ke server AS tanpa perjanjian transfer yang sah. Tidak ada kasus GDPR lain yang menghasilkan denda lebih besar untuk transfer lintas batas. AP juga menangani lebih dari 21.400 pengaduan pada tahun 2023, menjadikannya salah satu regulator data tersibuk di Eropa.

Temuan AP dalam Kasus Uber

Uber mengumpulkan data dari pengemudi di Belanda dan Prancis. Data tersebut mencakup riwayat lokasi, dokumen identitas, catatan pembayaran, rekam jejak mengemudi, dan berkas pajak. Semua data ini dipindahkan ke server AS. AP menyatakan metode transfer yang digunakan tidak sah.

Tiga temuan mendasari keputusan tersebut:

  • Metode transfer yang lemah: Uber menggunakan Binding Corporate Rules (BCR). AP menemukan bahwa BCR tersebut tidak mencakup ruang lingkup atau sensitivitas data pengemudi yang terlibat.
  • Tidak ada Transfer Impact Assessment (TIA): Uber tidak dapat membuktikan bahwa hukum AS tetap menjaga perlindungan transfer yang disepakati.
  • Data sensitif karena kombinasinya: Data lokasi, pembayaran, dan skor kinerja secara bersama-sama memberikan gambaran rinci tentang setiap pengemudi. AP memperlakukan gabungan ini setara dengan data pribadi sensitif.

Kasus Uber menetapkan aturan yang jelas. Data staf dan kontraktor yang dikirim ke AS memerlukan TIA dan langkah pengamanan tambahan yang sama seperti data konsumen.

Fokus Penegakan AP untuk 2025

Diperbarui untuk 2026

AP telah menetapkan tiga area yang dipantau secara ketat pada tahun 2025.

Pemantauan staf: Alat pemantauan kerja jarak jauh menjadi target utama. Ini mencakup log produktivitas, pengambilan tangkapan layar, pelacakan keystroke, dan alat pelacak lokasi jarak jauh. Sebelum menerapkan alat semacam itu, perusahaan harus mendokumentasikan alasan menolak opsi yang lebih tidak invasif.

Transfer data lintas batas: Setelah putusan Uber, AP memeriksa metode transfer. Perusahaan yang mengandalkan layanan dari AS, Asia, atau negara-negara lain yang tidak memenuhi syarat kecukupan masuk dalam lingkup pemeriksaan. Setiap perusahaan yang menggunakan perangkat lunak AS untuk HR, pekerjaan proyek, atau data pelanggan harus memiliki TIA terkini.

Keputusan otomatis: Penilaian kredit berbasis AI, filter rekrutmen, dan sistem kinerja memicu kewajiban Pasal 22. AP menarget organisasi yang membuat keputusan otomatis tanpa tahap tinjauan manusia yang nyata. Pekerja dan konsumen keduanya harus mendapatkan perlindungan.

BSN: Identifikasi Nasional yang Dilindungi

Burgerservicenummer (BSN) adalah nomor ID 9 digit yang digunakan di Belanda. Validasinya menggunakan pemeriksaan Elfproef (uji sebelas). Cara menjalankan pemeriksaan: kalikan setiap digit dengan bobot dari 9 hingga −1, jumlahkan hasilnya, dan total tersebut harus habis dibagi 11.

Undang-Undang BSN (Wet algemene bepalingen burgerservicenummer) membatasi penggunaan BSN pada konteks hukum tertentu, yaitu: perpajakan, layanan kesehatan, pemerintahan, dan penggajian karyawan. Penggunaan BSN di luar konteks tersebut memicu penegakan Undang-Undang BSN, ditambah kewajiban GDPR di atasnya.

Mengapa alat generik melewatkan BSN: Banyak alat NLP tidak menyertakan pemeriksaan Elfproef. Tanpanya, setiap string 9 digit akan ditandai sebagai kemungkinan BSN, menghasilkan alarm palsu dalam dokumen keuangan dan administrasi. BSN yang salah ketik pun terlewatkan karena gagal pemeriksaan namun tetap menyerupai pola yang valid. Lihat panduan kami tentang deteksi ID pajak nasional UE dan PII untuk perbandingan lengkap format ID Eropa.

NER untuk Teks Berbahasa Belanda

Bahasa Belanda (Nederlands) memiliki fitur-fitur yang dapat menjebak model yang dilatih dalam bahasa Inggris.

Kata majemuk: Bahasa Belanda menggabungkan kata-kata. Persoonsgegevens (data pribadi) dan Burgerservicenummer (nomor identitas warga) masing-masing merupakan satu kata tunggal. Model yang dibangun untuk bahasa Inggris sering memisahkannya di titik yang salah, merusak deteksi entitas.

Akhiran nama: Akhiran -je dan -tje muncul dalam nama depan — Annetje, Hansje. Model nama perlu menangani baik bentuk dasar maupun bentuk singkatnya.

Format alamat: Jenis jalan mencakup Straat, Laan, Weg, Plein, dan Gracht. Kode pos menggunakan empat digit ditambah dua huruf (contoh: 1234 AB). Setiap kode mengacu pada satu jalan, sehingga mengungkapkan lebih banyak informasi dibandingkan kebanyakan kode pos Eropa.

Format IBAN: IBAN Belanda terdiri dari 18 karakter: NL + 2 digit pemeriksaan + kode bank 4 huruf + nomor rekening 10 digit. Negara ini memiliki penggunaan pembayaran kartu yang tinggi, sehingga dokumen keuangan banyak memuat IBAN. Untuk metode penilaian kepercayaan di berbagai jenis ID, lihat deteksi PII biner dan penilaian kepercayaan.

Daftar Periksa Teknis untuk Kepatuhan AP

Untuk memenuhi standar AP saat ini, sistem data memerlukan:

  1. Deteksi BSN dengan Elfproef — pencocokan pola saja tidak cukup
  2. NER berbahasa Belanda — model seperti spaCy nl_core_news menangani kata majemuk dan nama bentuk singkat
  3. Deteksi IBAN — sadar format, bukan generik
  4. Catatan subprosesor untuk semua transfer lintas batas
  5. TIA untuk vendor AS — prioritas audit AP yang aktif setelah putusan Uber

Pasca-Uber, TIA untuk vendor AS adalah persyaratan dasar, bukan sekadar praktik terbaik. Untuk rincian lengkap putusan dan implikasi transfernya, lihat denda AP Uber dan penegakan transfer lintas batas.

Sumber

Artikel Terkait

GDPR & Kepatuhan

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Kepatuhan

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Kepatuhan

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Siap untuk melindungi data Anda?

Mulai anonimisasi PII dengan 285+ jenis entitas dalam 48 bahasa.

Mulai Uji Coba GratisLihat Fitur

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.