anonym.legal

By · Last updated 2026-06-05

Tilbake til BloggGDPR & Overholdelse

Nederlandsk AP: 290 millioner euro i Uber-bot og overfoeringer

Den nederlandske AP utstedte EUs storste individuelle dataoverfoeringsbot - 290 millioner euro mot Uber i 2024. Her er hva samsvar for grenseoverskridende overfoeringer krever.

June 5, 20267 min lesing
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

Den nederlandske AP og Uber-boten

I august 2024 bota den nederlandske AP Uber 290 millioner euro. Uber sendte EU-sjaforsdata til amerikanske servere uten rettslig grunnlag. Disse dataene inkluderte drosjeloeyver, straffeattester, medisinske opplysninger og reiselogger.

Uber flyttet dataene etter at Schrems II slo ned EU-US Privacy Shield i juli 2020. Den holdt disse overfoeringene gaaende i to aar. Ingen standard kontraktsklausuler. Ingen artikkel 46-verktoy av noe slag.

Denne boten er EUs storste for et dataoverforingsbrudd. Den rangerer som tredje storst blant alle GDPR-boter noensinne. Overfoeringsfeil medforer naa enorme kostnader. Ikke bare brudd.

Se vaar GDPR-samsvarveiledning for en rask oversikt.

APs prioriterte haandhevingsomrader

Den nederlandske AP mottok over 21 400 klager i 2023. Den fokuserer pa tre omrader.

Prioritet 1 - Arbeidsovervaaking (43 prosent av sakene): Mange nederlandske virksomheter har fatt AP-boter for aa overvaake ansatte. Skjulte kameraer, massevis av e-postkontroller og GPS-sporing uten varsel utloser alle tiltak. Nederlandsk arbeidsrett legger til ekstra regler atas pa GDPR.

Prioritet 2 - Grenseoverskridende overfoeringer (31 prosent av sakene): Etter Uber-boten og en fellesgraansking med Irlands DPC om Cloudflare (2023), traappet AP opp overfoeringsovervaaakingen. Amsterdams teknologisektor har hoy risiko her. Skyselskaper, fintech og raskt voksende oppstartsbedrifter er alle i skuddet.

Prioritet 3 - Markedsforing og profilering (26 prosent av sakene): Dette dekker cookie-samtykke, annonsemaling og direktereklame. AP inntar et strengt syn pa "berettiget interesse". Den krever skriftlige tester med klare bevis.

Overforingsregler etter Uber

Konsekvensanalyser for overfoering (TIA-er): EDPB krever en TIA for hver overfoering til et tredjeland. TIA-en maa vise at bestemmelsesstedet gir tilsvarende beskyttelse som europeisk lov. AP sier en TIA maa besvare fire sporsmaal:

  • Hva er tilgangslovene i maalstatsstedet?
  • Hvor langt rekker etterretningsbyraenes rekkevidde?
  • Hva er historikken for myndighetsforesprorsler til dataimpurtoren?
  • Hvilke rettslige rettsmidler kan registrerte bruke?

Standard kontraktsklausuler - ikke nok alene: SCC-er alene tilfredsstiller ikke artikkel 46. Dersom TIA-en viser risiko for myndighetstilgang, krevets ytterligere sikringstiltak.

Ekstra tekniske tiltak AP aksepterer:

  • Kryptering der importoren ikke har tilgang til dekrypteringsnoekler
  • Fjerne direkte ID-er foer overfoering slik at importoren ikke kan koble dataene tilbake til en person
  • Datareduksjon foer overfoering, ved a klippe ut felt importoren ikke trenger

Offline-skrivebordsappen kjoerer alt arbeid pa enheten din. Den sender ingen data utenfor. Dette fjerner overfoeringsproblematikken for den aktiviteten. Se vaar oversikt over sikkerhet og samsvar.

Ansattdata og nederlandsk arbeidsrett

APs 43 prosent-fokus pa arbeidsovervaaking viser hvordan GDPR og nederlandsk arbeidsrett overlapper.

Tre regler gjelder for nederlandskbaserte organisasjoner:

Godkjenning fra bedriftsraad: En virksomhet med bedriftsraad maa innhente dets godkjenning foer de ruller ut noe som helst overvaakingsverktoy. Dette gjelder AI-verktoy, e-postkontroller og fremmotesystemer.

Egnethet for formalet: Overvaaking maa samsvare med det oppgitte malet. Skjult overvaaking er ikke tillatt. Apen overvaaking maa vaere det minst inngripende alternativet.

Formalbegrensning: HR-data samlet inn for ett formal kan ikke brukes til et annet. Et nytt rettslig grunnlag er nodvendig.

Disse reglene krever tre registre: bedriftsraadets godkjenning, formalkontrollen og kontrollene. Vaar samsvars-sjekkliste dekker alle tre.

Nederlandsk PII-deteksjon

PII-verktoy i Nederland maa haandtere lokale ID-formater. Standard globale verktoy overser dem ofte:

  • BSN (Burger Service Nummer): 9-sifret nederlandsk nasjonal ID - krever kontrolltallvalidering
  • IBAN (NL-prefiks): Nederlandsk IBAN med sin egen valideringslogikk
  • Postnummer (postcode): Formatet er 4 siffer + mellomrom + 2 bokstaver
  • DigiD: Statlig digital identitetskode
  • Helsenumre: BGZ- og EP-formater for pasientopplysninger

Et generisk verktoy kan oppdage IBAN, men miste BSN-kontrolltallet eller postnummerformatet. Test BSN-deteksjon foer du behandler nasjonale identitetsdata. Ikke ta dekning for gitt.

Steg for nederlandske organisasjoner

1. Overfoeringsudit: List opp alle dataflommer til tredjeland. Gjennomga gjeldende SCC-er. Kjor TIA-er for viktige flommer. Dokumenter ekstra tekniske tiltak der en TIA flaggar risiko.

2. Gjennomgang av arbeidsovervaaking: List opp alle overvaakingsverktoy, inkludert AI. Kontroller bedriftsraadets godkjenningsregistre. Bekreft at formalontroller finnes skriftlig.

3. PII-dekningskontroll: Test BSN-, postnummer- og IBAN-deteksjon i PII-verktoyene dine. Test noyaktigheten pa nederlandskspraklige dokumenter.

4. Teknologisektors eksponering: Oppstartsbedrifter bor dokumentere valg som reduserer overforingsrisiko - EU-region-sky og lokale behandlingsalternativer. Skyleverandorer med EU-US-oppsett bor dokumentere sine overforingsverktoy og TIA-tilnaerming.

anonym.legal bruker EU-baserte Hetzner-datasentre med null-kunnskapsutforming. Serveren ser aldri klartekstinnholdet ditt. Et fullstendig serverbrudd gir bare AES-256-GCM-chiffertekst. Trenger du lokal behandling? Skrivebordsappen kjoerer helt pa enheten din uten eksterne tilkoblinger.

Kilder

Relaterte Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.