Autoriteit Persoonsgegevens (AP) bötelade Uber €290 miljoner i augusti 2024. Böterna gällde att Uber skickade föraruppgifter till amerikanska servrar utan ett giltigt överföringsavtal. Inget GDPR-ärende har genererat ett större böter för en gränsöverskridande överföring. AP hanterade dessutom över 21 400 klagomål under 2023. Det gör myndigheten till en av Europas mest aktiva dataskyddsmyndigheter.
Vad AP fann i Uber-ärendet
Uber samlade in uppgifter från förare i Nederländerna och Frankrike. Uppgifterna inkluderade platshistorik, identitetshandlingar, löneregister, körjournaler och skattefiler. Allt skickades till amerikanska servrar. AP slog fast att överföringsmetoden inte var giltig.
Tre slutsatser drev beslutet:
- Svag överföringsmetod: Uber använde bindande företagsregler (BCR). AP bedömde att dessa inte täckte omfånget eller känsligheten hos de föraruppgifter som var inblandade.
- Ingen konsekvensbedömning för överföring (TIA): Uber visade inte att amerikansk lag upprätthöll de avtalade skydden för överföringen.
- Känsliga uppgifter i kombination: Platsdata, lön och prestationspoäng ger tillsammans en detaljerad bild av varje förare. AP behandlade denna kombination som likvärdig med känsliga personuppgifter.
Uber-fallet sätter en tydlig regel. Personal- och uppdragstagardata som skickas till USA behöver samma TIA och extra åtgärder som konsumentdata.
AP:s tillsynsfokus 2025
Uppdaterat för 2026
AP har pekat ut tre områden som myndigheten bevakar noga under 2025.
Personalövervakning: Verktyg för fjärrarbetsövervakning är det främsta målet. Det inkluderar produktivitetsloggar, skärminspelning, tangentbordsloggning och fjärrplatsverktyg. Innan sådana verktyg driftsätts måste företag dokumentera varför de avvisat mindre ingripande alternativ.
Gränsöverskridande dataöverföringar: Efter Uber-domen kontrollerar AP överföringsmetoder. Företag som förlitar sig på amerikanska, asiatiska eller andra tjänster från länder utan adekvat skydd är i fokus. Alla företag som använder amerikanska programvaruverktyg för HR, projektarbete eller kunddata måste ha en aktuell TIA tillgänglig.
Automatiserade beslut: AI-baserad kreditbedömning, rekryteringsfilter och prestationssystem utlöser skyldigheter enligt artikel 22. AP riktar in sig på organisationer som fattar automatiserade beslut utan ett verkligt mänskligt granskningssteg. Både arbetstagare och konsumenter måste skyddas.
BSN: Ett skyddat nationellt identifieringsnummer
Burgerservicenummer (BSN) är ett 9-siffrigt ID-nummer som används i Nederländerna. Det valideras med Elfproef (elvaprovet). Kontrollen utförs så här: multiplicera varje siffra med en vikt från 9 ned till −1, addera resultaten, och summan måste vara jämnt delbar med 11.
BSN-lagen (Wet algemene bepalingen burgerservicenummer) begränsar användningen av BSN till specifika rättsliga sammanhang: skatt, sjukvård, offentlig förvaltning och arbetsgivarens lönehantering. Att använda ett BSN utanför dessa sammanhang utlöser BSN-lagstiftningens sanktioner. GDPR-ansvar tillkommer därutöver.
Varför generiska verktyg missar BSN: Många NLP-verktyg inkluderar inte Elfproef-kontrollen. Utan den flaggas vilken som helst 9-siffrig sträng som ett möjligt BSN. Det skapar falska larm i ekonomi- och administrationsdokument. Felskrivna BSN missas också — de misslyckas kontrollen men ser fortfarande ut som ett giltigt mönster. Se vår guide till EU:s nationella skatte-ID och PII-detektion för en fullständig jämförelse av europeiska ID-format.
NER för holländsk text
Holländska (Nederlands) har egenskaper som lurar modeller tränade på engelska.
Sammansatta ord: Holländska fogar samman ord. Persoonsgegevens (personuppgifter) och Burgerservicenummer (medborgarnummer) är vardera ett enda ord. Modeller byggda för engelska delar ofta upp dem fel. Det förstör entitetsdetektionen.
Namnsuffix: Suffixen -je och -tje förekommer i förnamn — Annetje, Hansje. Namnmodeller måste hantera både grundformen och kortformen.
Adressformat: Gatutyper inkluderar Straat, Laan, Weg, Plein och Gracht. Postnummer består av fyra siffror plus två bokstäver (exempel: 1234 AB). Varje kod mappar till en enskild gata, vilket gör att den avslöjar mer information än de flesta europeiska postnummer.
IBAN-format: Holländska IBAN-nummer är 18 tecken: NL + 2 kontrollsiffror + 4-bokstävigt bankkod + 10-siffrigt kontonummer. Landet har hög kortbetalningsanvändning. Finansiella dokument innehåller därför många IBAN-nummer. För metoder för konfidensbedömning av ID-typer, se binär PII-detektion och konfidensbedömning.
Teknisk checklista för AP-efterlevnad
För att uppfylla AP:s nuvarande standarder behöver datasystem:
- BSN-detektion med Elfproef — mönstermatchning ensam räcker inte
- Holländsk NER — en modell som spaCy nl_core_news hanterar sammansättningar och kortformsnamn
- IBAN-detektion — formatmedveten, inte generisk
- Register över underbiträden för alla gränsöverskridande överföringar
- TIA för amerikanska leverantörer — ett aktivt AP-granskningsprioriterat område efter Uber-domen
Efter Uber är en TIA för amerikanska leverantörer ett grundläggande krav, inte bara en bästa praxis. För en fullständig genomgång av domen och dess konsekvenser för dataöverföringar, se AP Uber-böter och gränsöverskridande dataöverföring.