anonym.legal

By · Last updated 2026-05-18

Назад к блогуGDPR и соблюдение

IMY Швеции: personnummer, samordningsnummer и...

IMY установил, что 45% универсальных инструментов пропускают шведский personnummer.

May 18, 20267 мин чтения
Sweden IMYpersonnummer LuhnsamordningsnummerSwedish GDPR technicalNordic compliance

Техническая оценка развёрнутых инструментов PII Шведским агентством по надзору в сфере конфиденциальности (Integritetsskyddsmyndigheten, IMY) выявила 45%-й уровень сбоев при обнаружении personnummer — основного национального идентификатора Швеции. Учитывая, что 79% шведских субъектов данных ежегодно реализуют права по GDPR (наивысший показатель в ЕС), точность автоматизированного обнаружения персональных данных напрямую влияет на операционную способность соответствия.

Personnummer: валидация по Луну и пробел samordningsnummer

Формат шведского personnummer (персонального идентификационного номера): YYMMDD-XXXX (10 знаков) или YYYYMMDD-XXXX (12 знаков). Последняя цифра проверяется с помощью алгоритма Луна.

Алгоритм Луна: Удвоить каждую вторую цифру справа налево. Если удвоение даёт двузначное число, суммировать цифры. Суммировать все цифры. Результат должен делиться на 10.

Алгоритм Луна используется также для номеров кредитных карт и SIN (канадского номера социального страхования). Однако компонент даты personnummer (YYMMDD) создаёт специфические ограничения валидации, отличающиеся от проверки по Луну для финансовых счетов.

Проблема samordningsnummer: Шведский координационный номер для иностранных резидентов, которым нужна идентификация до получения personnummer, использует тот же формат — но добавляет 60 к цифрам дня рождения:

  • Personnummer, рождённый 15 января: YYMMDD = YY0115
  • Samordningsnummer для той же даты рождения: YYMMDD = YY0175 (15 + 60 = 75)

Это означает, что samordningsnummer использует значения дня рождения 61–91 (вместо 01–31 для personnummer). Реализации, проверяющие personnummer путём сравнения дня рождения с диапазоном 01–31, отклоняют действительные samordningsnummer — и не распознают координационные номера иностранных резидентов в шведских трудовых документах.

Иностранное население Швеции составляет около 20% от общего. Для работодателей, медицинских организаций и финансовых учреждений, обрабатывающих данные иностранных резидентов, пробел в samordningsnummer означает, что значительная часть основных идентификаторов их населения остаётся необнаруженной.

Практические требования IMY к анонимизации

Руководство IMY по анонимизации (2023) — наиболее детальное техническое руководство по анонимизации среди органов по защите данных ЕС, на которое ссылаются 12 других органов, — устанавливает следующие требования для организаций, обрабатывающих шведские персональные данные:

k-анонимность ≥ 5: Наборы данных, выпускаемые для исследований, аналитики или вторичного использования, должны достигать не менее k=5 (каждый человек неотличим от 4 других по всем квазиидентифицирующим атрибутам). Квазиидентификаторы в шведских наборах данных обычно включают возраст, пол, муниципалитет и профессию — комбинации этих атрибутов быстро сужаются до малых групп с учётом относительно небольшого населения Швеции.

l-разнообразие для медицинских данных: Для наборов данных, содержащих медицинскую или финансовую информацию, помимо k-анонимности должно быть продемонстрировано l-разнообразие — для предотвращения атак вывода, которые k-анонимность сама по себе не блокирует.

Формальная верификация: В отличие от многих руководств органов по защите данных ЕС, IMY прямо указывает, что заявления об анонимизации должны быть верифицируемы — организация должна быть в состоянии продемонстрировать с помощью технической документации, что пороговые значения k-анонимности и l-разнообразия соблюдены, а не просто декларировать соответствие.

79%-й показатель реализации прав: операционные последствия

Чрезвычайно высокий показатель реализации прав по GDPR в Швеции (79% ежегодно — опрос IMY 2024) создаёт операционные требования, которые организации, обрабатывающие шведские персональные данные, должны предвидеть:

Право доступа: Шведские субъекты данных регулярно запрашивают полные копии всех персональных данных, хранящихся о них. Для компании с 50 000 шведских клиентов это означает примерно 39 500 запросов на доступ в год — каждый требует ответа в течение 30 дней.

Право на удаление: Шведские субъекты данных часто реализуют право на удаление после закрытия аккаунта или прекращения сервиса. Организации должны быть способны выполнять полное удаление во всех системах — не только в основной базе данных, но и в резервных копиях, аналитических платформах и наборах данных для обучения ИИ.

Автоматизированная инфраструктура обработки запросов: При 79%-м уровне реализации прав ручная обработка запросов операционно неосуществима. Организациям с шведской пользовательской базой нужны автоматизированные системы инвентаризации и извлечения персональных данных, способные отвечать на запросы о правах в масштабе.

Обнаружение персональных данных, корректно распознающее personnummer (с валидацией по Луну), samordningsnummer (с учётом смещения на 60 дней) и шведский NER, обеспечивает автоматизированную инвентаризацию персональных данных, которой операционно требует культура реализации прав в Швеции.

Источники:

Связанные статьи

GDPR и соблюдение

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и соблюдение

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и соблюдение

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готовы защитить ваши данные?

Начните анонимизацию PII с 285+ типов сущностей на 48 языках.

Начать бесплатный пробный периодПосмотреть функции

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.