Het Amerikaanse PII-toolprobleem
De meeste PII-detectietools zijn gebouwd in de Verenigde Staten voor Amerikaanse gegevensformaten. Het Social Security Number — 9 cijfers in AAA-BB-CCCC-formaat, met gedocumenteerde gebiedsnummer, groepsnummer en serienummer — was het primaire ontwerptarget. Tools die zijn gebouwd rond SSN-detectie detecteren betrouwbaar SSN's. Ze kunnen ook telefoonnummers, e-mailadressen en Amerikaanse rijbewijsformaten detecteren. Ze missen systematisch de identificatieformaten die in elk ander land worden gebruikt.
GDPR erkent het Amerikaanse centrum niet als een vrijstelling voor naleving. Een Duitse Steuer-ID (Steuerliche Identifikationsnummer) is een 11-cijferig belastingidentificatienummer dat wordt uitgegeven door het Bundeszentralamt für Steuern, met een specifieke controle-algoritme gevalideerd tegen een controlecijfer. Het identificeert Duitse inwoners even persoonlijk als een SSN Amerikanen identificeert. Artikel 4 van de GDPR definieert persoonlijke gegevens als "alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon" — een Steuer-ID is persoonlijke data onder de GDPR, ongeacht of uw PII-tool het formaat kent.
GDPR-boetes zijn opgelegd voor EU-landspecifieke PII-blootstelling in datasystemen die gegevens van EU-inwoners verwerkten met behulp van tools die alleen voor Amerikaanse formaten waren geconfigureerd. De nalevingskloof is niet theoretisch — het heeft handhavingsacties opgeleverd.
Het Europese identificatielandschap
De omvang van de Europese identificatie-dekkingskloof:
Duitsland: Steuer-ID (11-cijferig, controlecijfer), Sozialversicherungsnummer (12-cijferig, structureel formaat), Reisepass (10-cijferig paspoort met specifieke uitgevende autoriteitscodes)
Frankrijk: NIR/Numéro de Securite Sociale (15 cijfers coderen geslacht [1], geboortejaar [2], geboortemaand [2], departement [2], gemeente [3], registratienummer [3], controle sleutel [2]), Carte Vitale (kaart van 15-cijferige NIR), SIRET (14-cijferige bedrijfsidentificatie), SIREN (9-cijferig)
Zwitserland: Personnummer (10-cijferig, formaat YYMMDD-XXXX met de laatste twee cijfers die het geboortegebied identificeren in oudere nummers), Samordningsnummer (coördinatienummer voor niet-inwoners, vergelijkbaar formaat met dag + 60)
Noorwegen: Fodselsnummer (11-cijferig, formaat DDMMYYNNNKK met geslacht in de middelste cijfers), D-nummer (coördinatienummer, dag + 40)
Brazilië: CPF (Cadastro de Pessoas Fisicas, 11-cijferig met twee controlecijfers), CNPJ (14-cijferige bedrijfsidentificatie)
India: Aadhaar (12-cijferige biometrische identiteit, met Verhoeff-algoritme controlecijfer), PAN (10-teken alfanumeriek voor inkomstenbelasting)
VAE: Emirates ID (15-cijferig: 784-geboortejaar-volgorde-controle)
Een wereldwijde HR-manager die loongegevens voor werknemers in 12 landen verwerkt, heeft een tool nodig die alle 12 landen nationale ID-formaten in één keer detecteert — zonder 12 aparte land-specifieke tools te configureren of 12 aparte regex-bibliotheken te onderhouden.
De 285+ entiteitstype-architectuur
De 285+ entiteitstypebibliotheek dekt de volledige set identificatoren van EU-lidstaten, belangrijke APAC-identificatoren (Aadhaar, PAN, CPF, CNPJ, Emirates ID, Thaise burger-ID) en Amerikaanse identificatoren (SSN, EIN, rijbewijs per staat) in één detectiemotor. De bibliotheek wordt onderhouden en bijgewerkt naarmate land-specifieke formaten evolueren.
Bronnen: