anonym.legal

By · Last updated 2026-06-05

Terug naar BlogGDPR & Naleving

AVG, CCPA En PDPA In Één Tool

EU-medewerkers onder AVG, US-medewerkers die CCPA-data verwerken, APAC-medewerkers onder PDPA. Drie jurisdicties, één gedistribueerd team.

June 5, 20268 min lezen
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

AVG, CCPA En PDPA In Één Tool.

Bijgewerkt voor 2026.

Uw EU-medewerkers vallen onder de AVG. Uw California-medewerkers verwerken CCPA-records. Uw Singapore-medewerkers werken onder de PDPA. Drie kaders. Één gedeelde database.

Dit is de mondiale privacyuitdaging voor remote teams. De klantrecords die ze benaderen zijn dezelfde. De regels die die records beheersen zijn dat niet.

De Multi-Jurisdictie-Lacune

Een supportgroep in Duitsland, California en Singapore opent mogelijk allemaal hetzelfde klantaccount. De naam, e-mail en accountdetails in dat record staan in elk land onder andere regels.

Onder de AVG moet er een rechtsgrond zijn voor elk gebruik. Onder CCPA kan de klant verwijdering verzoeken en opt-out doen. Onder PDPA zijn toestemmings- en overdrachtsregels van toepassing.

Een klantbestand delen met een AI-assistent kan verplichtingen triggeren onder alle drie wetten tegelijk. Eén actie. Drie kaders.

Regionale software kan dit niet oplossen. Het maakt het probleem erger.

Waarom Één Platform Per Regio Faalt

De instinctieve reactie is de software aan de locatie te koppelen. US-medewerkers krijgen een US-oplossing. EU-medewerkers krijgen een EU-oplossing. APAC-medewerkers krijgen een APAC-oplossing.

Dit werkt in de praktijk niet.

De data volgt het platform niet. Een California-medewerker die de klacht van een Duitse klant behandelt is nog steeds gebonden aan de AVG. Het recht op wissing van de EU-klant is van toepassing. De US-oplossing kan geen Duitse nationale ID-formaten of IBAN-nummers bevatten. Dat is een lacune.

Instelling splitst in drie systemen. Drie platforms betekenen drie auditsporen. Drie dekkingsinstellingen. Drie sets entiteitstypen die mogelijk niet aansluiten. Één uniform rapport wordt een handmatige samentrekkingstaak.

Grensoverschrijdende overdrachten missen een helder antwoord. Een US-analist kan een export ontvangen met EU-klantrecords. Onder de AVG volgt de wet de betrokkene — niet de locatie van de analist. Een alleen-US-oplossing repareert dat niet.

Zie de wettelijke compliancegids voor hoe grensoverschrijdende verplichtingen stapelen.

Entiteitsdekking Over Regio's

PII-identificatoren verschillen per land. Een platform gebouwd voor één markt mist identificatoren uit een andere.

EU-entiteiten (AVG):

  • Duits Personalausweis en Steuernummer.
  • Frans Numéro de Sécurité Sociale.
  • Spaans DNI en NIE.
  • IBAN en BIC voor EU-bankieren.

US-entiteiten (CCPA / HIPAA):

  • Social Security Number (SSN) en EIN.
  • Staatelijke rijbewijsformaten.
  • Medicare- en Medicaid-nummers.
  • HIPAA's 18 beschermde gezondheidsidentificatoren.

APAC-entiteiten (PDPA, PIPL, PDPB):

  • Singapore NRIC en FIN.
  • Thais nationaal ID (13-cijferig).
  • Chinees Resident Identity Card (18-cijferig) en mobiele nummers.
  • Indiaas Aadhaar en PAN-kaart.

Een US-centrische oplossing dekt SSN's betrouwbaar. Het mist een Duits Personalausweis. Een EU-oplossing dekt IBAN en nationale ID's. Het detecteert mogelijk geen Aadhaar-nummer.

Volledige dekking betekent entiteitstypen voor elke relevante markt. Niet alleen de thuisregio van de software.

Blaader door de volledige entiteitsbibliotheek op /entities.

Preset-Instelling Per Jurisdictie

Het praktische antwoord: één detectie-engine met presets per regio.

AVG Standaard-preset (EU-medewerkers): Alle 18 AVG-persoonsgegevenstypen. EU-nationale ID-formaten. EU-banknummers. Drempels ingesteld voor het brede bereik van de AVG.

CCPA / HIPAA-preset (US-medewerkers): SSN, EIN, Medicare- en Medicaid-nummers. Staatelijke ID- en rijbewijsformaten. US financiële accountnummers. HIPAA's 18 PHI-typen voor medewerkers die gezondheidsrecords verwerken.

APAC Privacy-preset (APAC-medewerkers): Singapore NRIC en FIN. Thais nationaal ID. Chinees resident-ID en mobiele nummers. Indiaas Aadhaar en PAN. Landvlaggen waar nodig.

Elke preset wordt eenmalig centraal ingesteld. Hij is beschikbaar voor elke persoon. Pas hem toe voor de regio van de medewerker of voor de regio van de betrokkene. Gebruik welke strenger is. De engine past de strengere regel toe.

Lees over hoe presets werken in de FAQ.

Casestudy: 50-Persoons SaaS-Bedrijf

Een remote-first SaaS-bedrijf voerde zijn jaarlijkse privacyaudit uit. Medewerkers waren in Duitsland (18), California (22) en Singapore (10).

Vóór de overstap:

De Duitslandgroep gebruikte een EU-maskeringsplatform. De Californiagroep gebruikte een US-oplossing met beperkte EU-entiteitsdekking. De Singaporegroep had geen maskeringssoftware. De audit vond ongelijke normen over alle drie regio's. De Singapore-bevinding was een open lacune.

Na de overstap naar één platform:

  • AVG-preset voor Duitsland, met EU-entiteitstypen en 48-talenondersteuning.
  • CCPA-preset voor California, met US-entiteitstypen en CCPA-typen.
  • PDPA-preset voor Singapore, met APAC-identificatoren.
  • Één centraal auditspoor over alle 50 medewerkers.
  • EU-vestiging voor alle verwerkte records via de service.

Deze instelling voldoet aan AVG-artikel 46 voor grensoverschrijdende overdrachten binnen de service.

2025-auditresultaat: Nul bevindingen over maskeringsafwijkingen. De vorige Singapore-lacune gesloten.

Zie hoe enterprise-groepen technische maatregelen documenteren op /security-compliance.

Conclusie

Globale privacycompliance is niet drie afzonderlijke problemen. Het is er één: consistente technische controles over elke regio.

Zelfde detectie-engine. Zelfde auditspoor. Verschillende presets voor verschillende wetten. Eén service verwerkt alle drie.

Ontdek hoe anonym.legal globale teams ondersteunt op /pricing.

Bronnen

  • AVG Artikel 3: Territoriaal toepassingsgebied. gdpr-info.eu/art-3-gdpr/
  • California Consumer Privacy Act (CCPA/CPRA). oag.ca.gov/privacy/ccpa
  • Thailand Personal Data Protection Act (PDPA). pdpa.go.th
  • AVG Artikel 46: Grensoverschrijdende overdrachten. gdpr-info.eu/art-46-gdpr/

Gerelateerde Artikelen

GDPR & Naleving

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Naleving

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Naleving

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klaar om uw gegevens te beschermen?

Begin met het anonimiseren van PII met 285+ entiteitstypen in 48 talen.

Start Gratis ProefperiodeBekijk Kenmerken

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.