anonym.legal
Tillbaka till BloggenGDPR & Efterlevnad

ANSPDCP och rumänsk GDPR: Varför CNP-detektering med checksumvalidering är icke-förhandlingsbar

ANSPDCP fann att 78% av verktygen missar rumänsk CNP med korrekt validering. CNP kodar kön, födelsedatum och födelsekommun — GDPR:s specialkategoriföljder. Rumänsk språk NER för GDPR-kompatibel behandling.

March 7, 20267 min läsning
Romania ANSPDCPCNP checksum validationRomanian GDPRBPO complianceRomanian identifiers

Rumäniens Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) publicerade en teknisk bedömning för 2024 med en slående upptäckte: 78% av PII-verktygen som används i rumänska outsourcingoperationer misslyckas med att upptäcka Cod Numeric Personal (CNP) med korrekt checksumvalidering. För ett land som behandlar EU-medborgardata i stor skala för västeuropeiska kunder skapar detta systematisk efterlevnadsrisk.

CNP: Rumäniens rikaste personidentifierare

CNP är ett 13-siffrigt nationellt identifikationsnummer:

  • Siffra 1: Kön och århundradekod (1=man 1900-1999, 2=kvinna 1900-1999, 5=man 2000+, 6=kvinna 2000+, 7=man utländsk bosatt, 8=kvinna utländsk bosatt, 9=annan bosatt)
  • Siffror 2-3: De sista två siffrorna av födelseåret
  • Siffror 4-5: Födelsemånad (01-12)
  • Siffror 6-7: Födelsedag (01-31)
  • Siffror 8-9: Kommunkod (01-52, motsvarande Rumäniens 41 kommuner + Bukarestsektorer)
  • Siffror 10-12: Sekventiellt födelsenummer inom dag och kommun
  • Siffra 13: Kontrollsiffra (viktad summa modulus 11)

CNP kodar kön, födelsedatum (fullständigt), födelsekommun och medborgarskapsstatus — vilket gör det till en av Europas mest informationsrika nationella identifierare. Könskodningen i siffra 1 gör CNP till en de facto specialkategoriindikator enligt GDPR Artikel 9 (avslöjar biologiskt kön), vilket kräver ökat skydd.

Checksumvalidering: Kontrollsifferalgoritmen multiplicerar de första 12 siffrorna med vikter (2,7,9,1,4,6,3,5,8,2,7,9), summerar produkterna, tar modulo 11. Om resultatet är 10, är kontrollsiffran 1. Om resultatet är 11, är CNP ogiltig. Annars är kontrollsiffran lika med resultatet.

78% av verktygen missar denna validering — vilket genererar både falska positiva (vilket som helst 13-siffrigt nummer flaggas) och falska negativa (korrupta CNP-nummer passerar mönsterigenkänning men misslyckas med checksummor och därmed missas som potentiellt ogiltig data som kräver granskning).

Rumänsk språk NER: Det saknade lagret

Utöver CNP skapar rumänsk språkbehandling specifika NER-utmaningar:

Rumänska diakritiska tecken: Rumänska använder tecken ș (s-cedilla), ț (t-cedilla), ă, â och î. Verktyg som tränats på icke-rumänsk text kan misslyckas med att känna igen rumänska namn som innehåller dessa tecken. Kodningsproblem (UTF-8 vs. Latin-2) i äldre rumänska dokument skapar ytterligare detektionsutmaningar.

Rumänska adressformat: "Strada" (förkortat "Str."), "Bulevardul" (förkortat "Bd."), "Aleea" (förkortat "Al."), "Calea" (förkortat "Cal.") för gatutyper. Rumänska lokaliteter inkluderar både städer (municipii) och kommuner (comune) med namngivningskonventioner som skiljer sig från västeuropeiska adressformat.

Rumänska namnkonventioner: Rumänska namn följer specifika patronymiska och grammatiska konventioner. Samma namn förekommer i olika grammatiska fall beroende på dess grammatiska roll i meningen (nominativ, genitiv-dativ). NER-modeller måste hantera fallvariation för att korrekt identifiera rumänska namn över dokumentkontexter.

ANSPDCP:s verkställande mönster

ANSPDCP:s verkställande fall följer ett konsekvent mönster som avslöjar de specifika tekniska misslyckandena som leder till överträdelser:

BPO-dataintrång: Callcenter eller IT-supportorganisationer drabbas av ett dataintrång. Utredningen avslöjar att delade filer som innehåller rumänska anställdas CNP-nummer och EU-kunders personuppgifter lagrades utan adekvat kryptering. Bedömningen av intrångens omfattning försvåras av otillräcklig loggning — organisationen kan inte avgöra exakt vilka poster som har åtkomst.

Hälsoinformationsexponering: Patientjournaler som innehåller CNP-nummer, hälso-kortnummer och diagnosinformation delas av misstag med obehöriga parter (mejlades till fel mottagare, publicerades i fel molnmappe). CNP-nummer upptäcktes inte eller pseudonymiserades innan delning eftersom organisationens PII-verktyg inte inkluderade stöd för rumänska identifierare.

Överföring över gränser utan skydd: Rumänsk BPO-organisation överför EU-kunddata (inklusive CNP-kopplade poster) till indisk underleverantör för datainmatning eller bearbetning, utan adekvat överföringspåverkan och standardkontraktklausuler. CNP-nummer i överförda filer skapar GDPR:s specialkategoriöverföringsrisk.

För rumänsk GDPR-efterlevnad: CNP-detektering med modulo-11 checksumvalidering, rumänsk språk NER med diakritikmedveten bearbetning och upptäckten av rumänska nationella ID-kort är den tekniska baslinjen som ANSPDCP:s verkställande register visar är nödvändig.

Källor:

Relaterade Artiklar

GDPR & Efterlevnad

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

GDPR & Efterlevnad

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner