Håndhevelsesrealiteten
Det europeiske databeskyttelsesrådet og nasjonale tilsynsmyndigheter vurderer GDPR-samsvar basert på resultater, ikke innsats. En organisasjon som brukte et PII-detekteringsverktøy i god tro, men hvis verktøy systematisk overså franske, tyske og polske nasjonale identifikatorer, har fortsatt ikke klart å implementere "passende tekniske tiltak" i henhold til GDPR-artikkel 32.
"Vi brukte et verktøy" forsvaret tilfredsstiller ikke standarden når verktøyet åpenbart ikke kan oppdage de personopplysningstypene som er til stede i organisasjonens data.
Dette er ikke en hypotetisk risiko. Tilsynsmyndigheter som undersøker databrudd og feil i forespørsel om tilgang til dataemner, undersøker rutinemessig de tekniske tiltakene som brukes for datanonymisering. Når undersøkelsen avslører at et verktøy var engelsksentrisk og behandlet flerspråklige data, blir kravet om "passende tiltak" det sentrale håndhevelsesspørsmålet.
Hva tilsynsmyndighetene finner
GDPR-håndhevelsesdata fra 2024 viser at brudd på artikkel 32 (tekniske og organisatoriske tiltak) representerer en av de vanligste grunnene til bøter. Organisasjoner nevner automatiserte anonymiseringverktøy som en del av dokumentasjonen for deres tekniske tiltak — og tilsynsmyndigheter undersøker om disse verktøyene faktisk fungerer for datatypene som behandles.
For multinasjonale arbeidsgivere som behandler ansattregistre på tvers av EU-medlemsland, er eksponeringen systematisk. En HR-programvareplattform som anonymiserer ansattdata før analysebehandling kan korrekt fjerne engelskspråklige PII samtidig som franske personnummer (NIR), tyske skatteidentifikatorer (Steuer-ID), svenske personnummers og polske PESEL-numre forblir intakte.
Organisasjonen tror den har implementert tekniske tiltak. Tilsynsmyndigheten finner at 40% av de personopplysningene i det "anonymiserte" datasettet fortsatt er identifiserbare gjennom nasjonale identifikatorer som verktøyets gjenkjenner ikke dekket.
De spesifikke identifikatorformatene som engelskspråklige verktøy overser
De strukturelle forskjellene mellom EU-nasjonale identifikatorer og amerikanske/generiske formater betyr at engelsksentrisk verktøy ikke klarer å oppdage dem pålitelig:
Tysk Steuer-Identifikationsnummer: 11-sifret format med sjekksum-algoritme. Ikke oppdaget av verktøy som kun gjenkjenner amerikanske SSN (9-sifret) formater.
Fransk NIR (numéro de sécurité sociale): 15-sifret format som koder kjønn, fødselsår, departement og kontrollnøkkel. Ikke oppdaget av generiske telefonnummer- eller ID-nummer mønstre.
Svensk Personnummer: 10 eller 12-sifret format med Luhn sjekksum. Formatet endres for individer født før 1990, noe som krever formatbevissthet som generiske mønstre ikke har.
Polsk PESEL: 11-sifret format som koder fødselsdato og kjønn. Uten sjekksumvalidering er falsk positiv rate for PESEL-detektering prohibitively høy.
Organisasjonene som behandler disse dataene er ikke uvanlige: enhver EU-arbeidsgiver, finansielle tjenester, helsevesen eller offentlig etat som behandler data fra tyske, franske, svenske eller polske individer møter disse identifikatorene rutinemessig.
Samsvarsstandarden er resultatbasert
GDPRs krav til "passende tekniske og organisatoriske tiltak" (artikkel 32) er resultatbasert, ikke innsatsbasert. Standarden er ikke "organisasjonen brukte et PII-detekteringsverktøy." Standarden er "verktøyet som ble brukt oppnådde passende beskyttelse for de personopplysningene som ble behandlet."
For organisasjoner som behandler flerspråklige EU-data, betyr "passende" at tyske kunders Steuer-ID-er oppdages og fjernes i samme operasjon som fjerner engelske e-postadresser og amerikanske telefonnumre. En organisasjon som oppnår 95% PII-fjerning for engelskspråklige data og 0% PII-fjerning for tyske nasjonale identifikatorer har ikke implementert passende tekniske tiltak for sine tyske data.
Samsvarsinvesteringen i flerspråklig kapasitet er ikke valgfri for organisasjoner med EU-flerspråklig dataeksponering. Det er en komponent av de tekniske tiltakene GDPR krever.
For multinasjonale organisasjoner som vurderer om deres nåværende verktøy oppfyller standarden: testen er ikke "kan verktøyet oppdage e-postadresser på hvilket som helst språk?" Det er "kan verktøyet oppdage de nasjonale identifikatorformatene som er til stede i våre faktiske data?" For EU-operasjoner med ansatte, kunder eller pasienter fra Tyskland, Frankrike, Polen, Sverige eller noe annet EU-medlemsland, krever den testen jurisdiksjonsspesifikk gjenkjennerdekning.
Kilder: