Den holländska Autoriteit Persoonsgegevens (AP) utfärdade en böter på €290 miljoner mot Uber i augusti 2024 för obehörig datatransfer av förares personuppgifter mellan EU och USA — den största GDPR-boten för en datatransferöverträdelse i EU:s historia. Tillsammans med över 21 400 klagomål som behandlades under 2023 har den holländska AP etablerat sig som en av Europas mest betydelsefulla tillsynsmyndigheter.
Böterna mot Uber: Vad AP fann
Uber samlade in personuppgifter om holländska och franska Uber-förare — inklusive platsdata, kommunikation, identitetsdokument, körjournaler och skatteinformation. Dessa uppgifter överfördes till Ubers servrar i USA utan adekvata överföringsmekanismer.
De viktigaste fynden:
- Otillräcklig överföringsmekanism: Uber förlitade sig på Binding Corporate Rules (BCR) som AP fann otillräckliga för volymen och känsligheten av de personuppgifter som överfördes.
- Ingen överföringspåverkan bedömning: Uber misslyckades med att genomföra en TIA som visade att amerikansk lag inte underminerade överföringsskydden.
- Förares data är känslig: Platsdata, inkomstdata och prestationsbetyg — i kombination — möjliggör omfattande övervakning av enskilda förare. AP klassificerade denna kombination som motsvarande känsliga personuppgifter som kräver ökat skydd.
Böterna på €290M är den största enskilda bötesbeloppet för gränsöverskridande överträdelse i EU:s tillsynshistoria. Det fastställer att datatransfer av anställdas/kontraktörers personuppgifter till USA kräver samma rigorösa TIA och kompletterande åtgärder som konsumentdatatransfers.
Holländska AP:s tillsynsprioriteringar 2025
AP har publicerat sina fokusområden för tillsyn 2025:
Övervakning av anställda (43% av fallen): Teknik för övervakning av distansarbete — produktivitetsspårning, skärmdumpning, tangenttryckningsloggning, platsövervakning av distansarbetare — förblir holländska AP:s primära tillsynsmål. AP kräver proportionalitetsdokumentation för all övervakning av anställda: mindre påträngande alternativ måste övervägas och dokumenteras innan övervakningsteknik implementeras.
Gränsöverskridande datatransfers (31% av fallen): Efter Uber granskar AP överföringsmekanismer för holländska företag med verksamhet i USA, Asien och länder utan adekvata skydd. Företag som använder amerikanska SaaS-verktyg för HR, projektledning eller kunddata måste ha uppdaterade TIA.
Automatiserat beslutsfattande (26% av fallen): Automatiserad kreditbedömning, algoritmbaserad rekryteringsscreening och AI-driven prestationsutvärdering skapar skyldigheter enligt Artikel 22. Holländska AP:s tillsyn fokuserar på organisationer som använder algoritmiska beslut som påverkar holländska anställda eller konsumenter utan adekvata mänskliga granskningmekanismer.
BSN: Nederländernas primära identifierare
Burgerservicenummer (BSN) är Nederländernas 9-siffriga medborgartjänstenummer, som använder Elfproef (elva-proofs) valideringsalgoritm — en viktad summa modulus-11 kontroll.
Elfproef: multiplicera varje siffra med en minskande vikt (9, 8, 7, 6, 5, 4, 3, 2, -1), summera produkterna, och resultatet måste vara delbart med 11.
BSN är bland de mest juridiskt skyddade identifierarna i Nederländerna — BSN-lagen (Wet algemene bepalingen burgerservicenummer) begränsar dess användning till specifika auktoriserade sammanhang (skatt, hälsovård, statliga tjänster, arbetsgivarens löner). Organisationer som behandlar BSN utanför auktoriserade sammanhang står inför specifik AP-tillsyn under BSN-lagen utöver GDPR.
Detekteringsproblemet: 56% av generiska NLP-verktyg misslyckas med att korrekt validera BSN-nummer (AP:s tekniska bedömning). Utan Elfproef-implementering:
- Varje 9-siffrigt nummer flaggas som potentiellt BSN — vilket genererar massiva falska positiva i finansiella och administrativa dokument.
- Transponerade eller felaktiga BSN (vanligt vid manuell datainmatning) missas eftersom de inte klarar Elfproef men matchar 9-siffrigt format.
Holländska språkets NER-krav
Holländska (Nederlands) har specifika språkliga egenskaper som är relevanta för PII-detektering:
Sammansatta ord: Holländska använder i stor utsträckning sammansatta ord — "persoonsgegevens" (personuppgifter), "Burgerservicenummer" (medborgartjänstenummer). NLP-tokenizers som tränats på engelska eller andra analytiska språk tokeniserar ofta holländska sammansättningar felaktigt.
Diminutiv: Holländska använder ofta diminutivformer (-je, -tje ändelser) för namn — "Annetje," "Hansje." Namnigenkänningsmodeller måste hantera både basformer och diminutiv.
Holländska adressformat: "Straat," "Laan," "Weg," "Plein," "Gracht" för gatutyper. Postnummerformat: 4 siffror + 2 bokstäver (t.ex. 1234 AB). Holländska postnummer är mycket specifika (individuella gator) — mer identifierande än tyska eller brittiska postnummer.
IBAN NL-format: Holländska IBAN börjar med NL + 2 kontrollsiffror + 4-bokstävers bankkod + 10-siffrigt kontonummer. Nederländerna har en av Europas högsta penetrationsgrader för kontaktlösa betalningar, vilket innebär att holländska finansiella dokument är täta med IBAN-nummer.
För holländsk AP-efterlevnad: BSN-detektion med Elfproef-validering, holländsk språk NER (spaCy nl_core_news), holländsk IBAN-detektion och dokumenterad subprocessorförvaltning för gränsöverskridande överföringar är den tekniska baslinjen. Efter Uber är Transfer Impact Assessments för amerikanska leverantörsrelationer inte längre valfria — de är aktiva AP-revisionmål.
Källor: