Het Drie-Regulatie Probleem
Een in het VK gevestigde wereldwijde marktplaats die verificatiedocumenten van verkopers uit 80 landen verwerkt, wordt geconfronteerd met drie gelijktijdige regelgevende kaders: GDPR voor in de EU gevestigde verkopers, LGPD (Lei Geral de Proteção de Dados) voor Braziliaanse verkopers, en de Digital Personal Data Protection Act (DPDP) van India voor Indiase verkopers. Elk kader wijst verschillende nationale identificatoren aan als beschermde persoonlijke gegevens die specifieke behandeling vereisen.
Braziliaanse CPF (Cadastro de Pessoas Fisicas): Het 11-cijferige identificatienummer voor belastingbetalers met het formaat XXX.XXX.XXX-XX. De laatste twee cijfers zijn controlecijfers die zijn afgeleid van een specifiek modulair rekenalgoritme. De Braziliaanse LGPD beschouwt CPF als een unieke identificator voor natuurlijke personen — gelijkwaardig aan SSN in termen van gevoeligheid. Een tool die het CPF-formaat en het controlecijferalgoritme niet kent, kan het niet detecteren.
Indiase Aadhaar: Het 12-cijferige biometrische identificatienummer dat is uitgegeven door de Unique Identification Authority of India. In tegenstelling tot CPF en SSN worden Aadhaar-nummers willekeurig toegewezen met een controlecijfer volgens het Verhoeff-algoritme. De DPDP-wet van India legt verplichtingen op aan organisaties die Aadhaar-gebonden gegevens verwerken. Detectie vereist formatherkenning (12 opeenvolgende cijfers met Verhoeff-controle) en contextbewuste onderdrukking (niet elk 12-cijferig nummer is een Aadhaar).
US SSN: Het 9-cijferige Social Security Number met gedocumenteerde beperkingen voor het gebiednummer (eerste 3 cijfers), structuur van het groepsnummer (midden 2 cijfers) en bereik van het serienummer (laatste 4 cijfers). Validatie-algoritmen zijn vastgesteld en goed gedocumenteerd.
Deze drie identificatoren hebben verschillende formaten, verschillende validatie-algoritmen en verschillende regelgevende contexten. Een nalevingsysteem dat documenten uit Brazilië, India en de VS gelijktijdig verwerkt, kan niet vertrouwen op een enkele tool die is gebouwd voor het formaat van één land.
De Multi-Regulatory Kloof in de Praktijk
De kloof tussen SSN-detectie en wereldwijde dekking is groter dan de meeste nalevingsteams beseffen. Organisaties die verifiëren "onze PII-tool werkt" door deze te testen met Amerikaanse gegevens, ontdekken nooit dat deze faalt op niet-Amerikaanse formaten totdat een regelgevend evenement de fout aan het licht brengt.
GDPR Artikel 28 vereist een schriftelijke Data Processing Agreement met elke gegevensverwerker. De DPIA voor de anonimiserings-tool moet behandelen of de tool alle identificatorformaten dekt die aanwezig zijn in de verwerkte gegevens. Een DPIA die "SSN-detectie" vermeldt als de primaire PII-controle voor een dataset met Braziliaanse verkopers met CPF-nummers bevat een gedocumenteerde nalevingskloof — een die kan worden geïdentificeerd in een regelgevend onderzoek.
De combinatie van de maximale boete van 4% van de wereldwijde jaarlijkse omzet van de GDPR, de equivalente bepalingen van de LGPD en de opkomende handhaving van de DPDP creëert een oplopend regelgevend risico voor wereldwijde organisaties die afhankelijk zijn van tools voor PII-detectie van één land.
Bronnen: