anonym.legal

By · Last updated 2026-06-05

Voltar ao BlogGDPR & Conformidade

Datatilsynet Dinamarca: A Desidentificação de Dados...

O Datatilsynet da Dinamarca emitiu 31 decisões do GDPR em 2024; 14 envolviam sistemas de dados de saúde.

June 5, 20268 min de leitura
Denmark DatatilsynetCPR numberhealthcare GDPRNordic data protectionhealth data

Saúde e RGPD na Dinamarca: execução do Datatilsynet em 2024

O Datatilsynet dinamarquês emitiu 31 decisões ao abrigo do RGPD em 2024. Catorze delas — 45 % — envolviam sistemas médicos. A Dinamarca tem 5,9 milhões de habitantes. Essa proporção é muito alta. Ela mostra até onde o país avançou na digitalização da saúde. Mostra também quão exigentes são os requisitos técnicos.

O sistema de saúde da Dinamarca

Cada cidadão dinamarquês tem um número CPR. Esse número está ligado ao seu processo clínico, ao registo de medicamentos, ao registo hospitalar e às amostras biológicas do Statens Serum Institut. O registo hospitalar remonta a 1977.

Este sistema torna a investigação médica dinamarquesa uma das melhores do mundo. Significa também que os processos de doentes são muito sensíveis. É por isso que o Datatilsynet tem dado tanta atenção a esta área.

O problema do número CPR

O número CPR é um identificador com 10 dígitos. O seu formato é DDMMAA-XXXX. O último dígito é um dígito de controlo. É calculado por aritmética módulo 11.

Os números CPR aparecem em todos os documentos clínicos. Estão ligados a registos de saúde, fiscais, bancários e eleitorais.

O Datatilsynet exige que a anonimização seja verificada e documentada antes de qualquer utilização secundária de processos de doentes. Mas 67 % das ferramentas NLP genéricas não aplicam o passo de módulo 11. Quando o omitem, surgem dois problemas.

Falsos positivos: Cadeias de datas, números de fatura e códigos de referência são assinalados como números CPR reais. Isso gera revisões manuais dispendiosas.

Identificadores omitidos: Números CPR com dígitos trocados falham o controlo. Identificadores reais de doentes passam despercebidos. O resultado parece limpo, mas não está.

O nosso guia de deteção de identificadores nacionais da UE explica como as regras de dígito de controlo funcionam para outros tipos de identificadores europeus.

Quatro regras para reutilização de processos de doentes

Os registos médicos dinamarqueses sustentam investigação de primeiro nível. A orientação de 2024 do Datatilsynet sobre reutilização estabelece quatro regras.

Documente o seu processo: Liste cada campo removido ou alterado. Indique como arredondou ou agrupou os valores. Uma nota de política simples não cumpre este requisito.

Apresente os seus resultados de teste: Prove que a sua ferramenta detetou números CPR e outros identificadores dinamarqueses. Uma afirmação não é prova.

Limite o âmbito: Não recolha mais dados pessoais do que o seu estudo necessita. Esta regra aplica-se mesmo a conjuntos pseudonimizados.

Realize uma AIPD para ferramentas de IA: Qualquer ferramenta de IA que processe processos de doentes dinamarqueses precisa de uma avaliação de impacto. Use o formulário padrão do Datatilsynet.

Três áreas de foco em Copenhaga

O setor med-tech de Copenhaga inclui a Leo Pharma, a Bavarian Nordic e muitas startups. O Datatilsynet observa três áreas de risco.

Conjuntos de treino de IA: A autoridade encontrou em 2024 empresas que treinaram modelos de IA com processos que continham números CPR reais. Nenhuma tinha base jurídica válida.

Transferências para o estrangeiro: Algumas empresas enviaram processos de doentes para fornecedores de nuvem dos EUA para trabalhos de IA. A autoridade concluiu que as CCE por si só não são suficientes. São também necessárias medidas técnicas — como encriptação com chaves detidas na Europa.

Registos de acesso: Os registos devem indicar quem acedeu a quais processos e por quê. Devem ser conservados durante pelo menos cinco anos.

56 % das violações de dados médicos na Dinamarca em 2024 resultaram de anonimização deficiente. Ferramentas validadas para CPR com suporte em dinamarquês eliminam a falha técnica mais comum.

Para saber mais sobre a execução nórdica, consulte o nosso guia RGPD do IMY Suécia.

Fontes

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.