Den nederlandske Autoriteit Persoonsgegevens (AP) utstedte en bot på €290 millioner mot Uber i august 2024 for uautorisert datatransfer av førerens personopplysninger fra EU til USA — den største GDPR-boten for brudd på datatransfer i EUs historie. Kombinert med over 21 400 klager behandlet i 2023, har den nederlandske AP etablert seg som en av Europas mest innflytelsesrike håndhevelsesmyndigheter.
Uber-boten: Hva AP fant
Uber samlet inn personopplysninger om nederlandske og franske Uber-førere — inkludert lokasjonsdata, kommunikasjon, identitetsdokumenter, kjøreopptegnelser og skatteinformasjon. Disse dataene ble overført til Ubers servere i USA uten tilstrekkelige overføringsmekanismer.
De viktigste funnene:
- Utilstrekkelig overføringsmekanisme: Uber stolte på Binding Corporate Rules (BCRs) som AP fant utilstrekkelige for volumet og sensitiviteten til førerens personopplysninger som ble overført
- Ingen overføringspåvirkningsvurdering: Uber klarte ikke å gjennomføre en TIA som viste at amerikansk lov ikke undergravde overføringsbeskyttelsene
- Førerdata er sensitive: Lokasjonsdata, inntektsdata og prestasjonsvurderinger — kombinert — muliggjør omfattende overvåking av individuelle førere. AP klassifiserte denne kombinasjonen som ekvivalent med sensitive personopplysninger som krever økt beskyttelse
Boten på €290M er den største enkeltstående grenseoverskridende overføringsbrudd-boten i EUs håndhevelseshistorie. Den fastslår at datatransfer av ansatt-/oppdragstakers personopplysninger til USA krever den samme strenge TIA og supplerende tiltak som forbrukerdataoverføringer.
Nederlandsk APs håndhevelsesprioriteringer i 2025
AP har publisert sine fokusområder for håndhevelse i 2025:
Overvåking av ansatte (43% av sakene): Teknologi for overvåking av fjernarbeid — produktivitetsoppfølging, skjermopptak, tastetrykklogging, lokasjonsmonitorering av fjernarbeidere — forblir den nederlandske APs primære håndhevelsesmål. AP krever dokumentasjon for proporsjonalitet for enhver overvåking av ansatte: mindre inngripende alternativer må vurderes og dokumenteres før overvåkningsteknologi implementeres.
Grenseoverskridende datatransfer (31% av sakene): Etter Uber, reviderer AP overføringsmekanismer for nederlandske selskaper med virksomhet i USA, Asia og ikke-tilstrekkelige land. Selskaper som bruker amerikanske SaaS-verktøy for HR, prosjektledelse eller kundedata må ha oppdaterte TIAs.
Automatisert beslutningstaking (26% av sakene): Automatisert kredittvurdering, algoritmebasert ansettelsesvurdering og AI-drevet prestasjonsvurdering skaper forpliktelser i henhold til artikkel 22. Den nederlandske APs håndhevelse fokuserer på organisasjoner som bruker algoritmiske beslutninger som påvirker nederlandske ansatte eller forbrukere uten tilstrekkelige mekanismer for menneskelig vurdering.
BSN: Nederlands primære identifikator
Burgerservicenummer (BSN) er Nederlands 9-sifrede borgeridentifikasjonsnummer, som bruker Elfproef (elleve-proofs) valideringsalgoritmen — en vektet sum modulus-11 sjekk.
Elfproef: multipliser hvert siffer med en avtagende vekt (9, 8, 7, 6, 5, 4, 3, 2, -1), summer produktene, og resultatet må være delelig med 11.
BSN er blant de mest lovbeskyttede identifikatorene i Nederland — BSN-loven (Wet algemene bepalingen burgerservicenummer) begrenser bruken til spesifikke autoriserte sammenhenger (skatt, helsevesen, offentlige tjenester, arbeidsgiverlønninger). Organisasjoner som behandler BSN utenfor autoriserte sammenhenger står overfor spesifik AP-håndhevelse under BSN-loven i tillegg til GDPR.
Deteksjonsproblemet: 56% av generiske NLP-verktøy klarer ikke å validere BSN-nummer korrekt (AP teknisk vurdering). Uten Elfproef-implementering:
- Ethvert 9-sifret nummer blir flagget som potensielt BSN — noe som genererer massive falske positiver i finansielle og administrative dokumenter
- Transponerte eller feilaktige BSN (vanlig i manuell datainntasting) blir oversett fordi de ikke klarer Elfproef, men matcher 9-sifret format
Nederlansk språk NER-krav
Nederlands (Nederlands) har spesifikke språklige trekk som er relevante for PII-detektering:
Sammensatte ord: Nederlandsk bruker i stor grad sammensatte ord — "persoonsgegevens" (personopplysninger), "Burgerservicenummer" (borgeridentifikasjonsnummer). NLP-tokenizere trent på engelsk eller andre analytiske språk tokeniserer ofte nederlandske sammensatte ord feil.
Diminutiver: Nederlandsk bruker ofte diminutive former (-je, -tje endelser) for navn — "Annetje," "Hansje." Navn gjenkjenningsmodeller må håndtere både grunnformer og diminutiver.
Nederlandske adresseformater: "Straat," "Laan," "Weg," "Plein," "Gracht" for gate typer. Postnummerformat: 4 sifre + 2 bokstaver (f.eks., 1234 AB). Nederlandske postnumre er svært spesifikke (individuelle gater) — mer identifiserende enn tyske eller britiske postnumre.
IBAN NL-format: Nederlandske IBANer starter med NL + 2 kontrollsifre + 4-bokstavers bankkode + 10-sifret kontonummer. Nederland har en av Europas høyeste kontaktløse betalingspenetrasjonsrater, noe som betyr at nederlandske finansielle dokumenter er tette med IBAN-numre.
For nederlandske AP-overholdelse: BSN-detektering med Elfproef-validering, nederlandskspråklig NER (spaCy nl_core_news), nederlandske IBAN-detektering, og dokumentert underleverandørhåndtering for grenseoverskridende overføringer er den tekniske basislinjen. Etter Uber er overføringspåvirkningsvurderinger for amerikanske leverandørforhold ikke lenger valgfrie — de er aktive AP-revisjonsmål.
Kilder: