Tillsynsverkligheten
European Data Protection Board och nationella tillsynsmyndigheter utvärderar GDPR-efterlevnad baserat på utfall, inte ansträngning. En organisation som i god tro använde ett PII-detekteringsverktyg, men vars verktyg systematiskt missade franska, tyska och polska nationella identifierare, har ändå misslyckats med att implementera "lämpliga tekniska åtgärder" enligt GDPR Artikel 32.
Försvaret "vi använde ett verktyg" uppfyller inte standarden när verktyget uppenbart inte kan identifiera de personuppgiftstyper som finns i organisationens data.
Detta är ingen hypotetisk risk. Tillsynsmyndigheter som utreder dataintrång och misslyckanden med begäranden om datasubjektsåtkomst granskar rutinmässigt de tekniska åtgärder som använts för dataanonymisering. När granskningen avslöjar att ett verktyg var engelskcentrerat och behandlade flerspråkig data, blir kravet på "lämpliga åtgärder" den centrala tillsynsfrågan.
Vad tillsynsmyndigheterna finner
GDPR-tillsynsdata från 2024 visar att Artikel 32-överträdelser (tekniska och organisatoriska åtgärder) representerar en av de vanligaste grunderna för böter. Organisationer anger automatiserade anonymiseringsverktyg som en del av sin dokumentation av tekniska åtgärder — och tillsynsmyndigheter undersöker om dessa verktyg faktiskt fungerar för de datatyper som behandlas.
För multinationella arbetsgivare som behandlar anställdas uppgifter i flera EU-länder är exponeringen systematisk. En HR-mjukvaruplattform som anonymiserar anställddata inför analytisk behandling kan korrekt ta bort engelskspråkig PII medan franska personnummer (NIR), tyska skatteidentifierare (Steuer-ID), svenska personnummer och polska PESEL-nummer lämnas intakta.
Organisationen tror att den har implementerat tekniska åtgärder. Tillsynsmyndigheten finner att 40 % av personuppgifterna i den "anonymiserade" datamängden fortfarande är identifierbara via nationella identifierare som verktygets igenkännare inte täckte.
De specifika identifierarformat som engelskspråkiga verktyg missar
De strukturella skillnaderna mellan EU:s nationella identifierare och amerikanska/generiska format innebär att engelskcentrerade verktyg misslyckas med att identifiera dem på ett tillförlitligt sätt:
Tyskt Steuer-Identifikationsnummer: 11-siffrigt format med kontrollsummealgoritm. Detekteras inte av verktyg som enbart känner igen amerikanska SSN (9-siffrigt) format.
Franskt NIR (numéro de sécurité sociale): 15-siffrigt format som kodar kön, födelseår, departement och kontrollnyckel. Detekteras inte av generiska telefonnummer- eller ID-nummermönster.
Svenskt Personnummer: 10 eller 12-siffrigt format med Luhn-kontrollsiffra. Formatet ändras för individer födda före 1990, vilket kräver formatmedvetenhet som generiska mönster saknar.
Polskt PESEL: 11-siffrigt format som kodar födelsedag och kön. Utan kontrollsummevalidering är falskpositivfrekvensen för PESEL-detektering ohanterligt hög.
Organisationerna som behandlar denna data är inte ovanliga: varje EU-arbetsgivare, finansiellt tjänsteföretag, sjukvårdsleverantör eller myndighet som behandlar data från tyska, franska, svenska eller polska individer stöter rutinmässigt på dessa identifierare.
Efterlevnadsstandarden är utfallsbaserad
GDPR:s krav på "lämpliga tekniska och organisatoriska åtgärder" (Artikel 32) är utfallsbaserat, inte ansträngningsbaserat. Standarden är inte "organisationen använde ett PII-detekteringsverktyg." Standarden är "det använda verktyget uppnådde lämpligt skydd för den behandlade personuppgiften."
För organisationer som behandlar flerspråkig EU-data innebär "lämplig" att tyska kunders Steuer-ID:n identifieras och tas bort i samma operation som engelska e-postadresser och amerikanska telefonnummer. En organisation som uppnår 95 % PII-borttagning för engelskspråkig data och 0 % PII-borttagning för tyska nationella identifierare har inte implementerat lämpliga tekniska åtgärder för sin tyska data.
Efterlevnadsinvesteringen i flerspråkig kapacitet är inte frivillig för organisationer med flerspråkig EU-dataexponering. Det är en komponent i de tekniska åtgärder som GDPR kräver.
För multinationella organisationer som utvärderar om deras nuvarande verktyg uppfyller standarden: testet är inte "kan verktyget identifiera e-postadresser på vilket språk som helst?" Det är "kan verktyget identifiera de nationella identifierarformat som finns i vår faktiska data?" För EU-verksamheter med anställda, kunder eller patienter från Tyskland, Frankrike, Polen, Sverige eller något annat EU-land kräver det testet jurisdiktionsspecifik igenkännartäckning.
Källor: