anonym.legal

By · Last updated 2026-05-18

Tillbaka till BloggenGDPR & Efterlevnad

IMY Sverige: Personnummer, Samordningsnummer och...

IMY fann att 45% av generiska verktyg missar svenska personnummer. Samordningsnummer (60-offset) missades av de flesta implementationer.

May 18, 20267 min läsning
Sweden IMYpersonnummer LuhnsamordningsnummerSwedish GDPR technicalNordic compliance

Sveriges Integritetsskyddsmyndigheten (IMY) tekniska bedömning av implementerade PII-verktyg visade en 45% felaktighetsgrad för personnummerdetektion — Sveriges primära nationella identifierare. Med tanke på att 79% av svenska registrerade utövar GDPR-rättigheter årligen (den högsta graden i EU), påverkar automatiserad PII-detektion noggrannhet direkt den operativa efterlevnadsförmågan.

Personnummer: Luhn-validering och Samordningsnummergapet

Det svenska personnummerformatet (personligt identitetsnummer): YYMMDD-XXXX (10 tecken) eller YYYYMMDD-XXXX (12 tecken). Den sista siffran valideras med hjälp av Luhn-algoritmen.

Luhn-algoritmen: Dubbel varje andra siffra från höger till vänster. Om dubbleringen ger ett tvåsiffrigt nummer, summera siffrorna. Summera alla siffror. Resultatet måste vara delbart med 10.

Luhn-algoritmen delas med kreditkortsnummer och SIN (kanadensiskt socialförsäkringsnummer). Emellertid skapar personnummerns datumkomponent (YYMMDD) specifika valideringsbegränsningar som skiljer sig från finansiella konton Luhn-validering.

Problemet med samordningsnummer: Sveriges samordningsnummer för utländska medborgare som behöver identifiering innan de får ett personnummer använder samma format — men lägger till 60 till födelsedatumssiffrorna:

  • Personnummer född den 15 januari: YYMMDD = YY0115
  • Samordningsnummer för samma födelsedatum: YYMMDD = YY0175 (15 + 60 = 75)

Detta innebär att samordningsnummer använder födelsedagsvärden 61-91 (istället för 01-31 för personnummer). Implementationer som validerar personnummer genom att kontrollera födelsedagen mot 01-31 kommer att avvisa giltiga samordningsnummer — och missa att identifiera utländska medborgares samordningsnummer i svenska anställningsdokument.

Sveriges utlandsfödda befolkning representerar cirka 20% av den totala befolkningen. För arbetsgivare, vårdgivare och finansiella tjänster som hanterar data om utländska medborgare innebär samordningsnummergapet att en betydande del av deras befolknings primära identifierare förblir oupptäckta.

IMY:s Praktiska Anonymiseringskrav

IMY:s anonymiseringsguide (2023) — EU:s mest detaljerade tekniska vägledning om anonymisering, refererad av 12 andra DPAs — ställer dessa krav på organisationer som behandlar svenska personuppgifter:

k-anonymitet ≥ 5: Dataset som släpps för forskning, analys eller sekundär användning måste uppnå minst k=5 (varje individ oigenkännlig från 4 andra på alla kvasi-identifikationsattribut). Kvasi-identifikatorer i svenska dataset inkluderar typiskt ålder, kön, kommun och yrke — kombinationer av dessa snävar snabbt ner till små grupper med tanke på Sveriges relativt lilla befolkning.

l-mångfald för hälsoinformation: För dataset som innehåller hälso- eller finansiell information måste l-mångfald demonstreras utöver k-anonymitet — för att förhindra inferensattacker som k-anonymitet ensam inte blockerar.

Formell verifiering: Till skillnad från många EU DPA-guider, anger IMY uttryckligen att anonymiseringsanspråk måste vara verifierbara — organisationen måste kunna visa genom teknisk dokumentation att k-anonymitets- och l-mångfaldströsklarna uppfylls, inte bara påstå att de följs.

Den 79% Rättighetsutnyttjandegraden: Operativa Implikationer

Sveriges extraordinärt höga GDPR-rättighetsutnyttjandegrad (79% årligen — IMY 2024-undersökning) skapar operativa krav som organisationer som behandlar svenska personuppgifter måste förutse:

Rätt till åtkomst: Svenska registrerade begär regelbundet kompletta kopior av all personlig data som hålls om dem. För ett företag med 50 000 svenska kunder innebär detta cirka 39 500 åtkomstförfrågningar per år — varje som kräver ett svar inom 30 dagar.

Rätt till radering: Svenska registrerade utövar ofta rätten till radering efter kontostängning eller tjänstupphörande. Organisationer måste kunna genomföra fullständig radering över alla system — inte bara den primära databasen, utan även säkerhetskopior, analysplattformar och AI-träningsdataset.

Automatiserad svarsinfrastruktur: Med en utnyttjandegrad på 79% är manuell behandling av rättighetsförfrågningar inte operativt genomförbar. Organisationer med svenska användarbaser behöver automatiserade personuppgiftsinventerings- och återvinningssystem som kan svara på rättighetsförfrågningar i stor skala.

PII-detektion som korrekt identifierar personnummer (med Luhn-validering), samordningsnummer (med 60-offset dagshantering) och svenskspråkig NER möjliggör den automatiserade personuppgiftsinventering som Sveriges rättighetsutnyttjandekultur operativt kräver.

Källor:

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.