Hollanda Kişisel Verileri Koruma Otoritesi (AP), Ağustos 2024'te Uber'e sürücü kişisel verilerinin yetkisiz AB-ABD veri transferi nedeniyle €290 milyon ceza verdi — bu, AB tarihindeki en büyük veri transfer ihlali cezasıdır. 2023'te işlenen 21,400'den fazla şikayetle birlikte, Hollanda AP, Avrupa'nın en etkili uygulama otoritelerinden biri olarak kendini kanıtladı.
Uber Cezası: AP'nin Buldukları
Uber, Hollandalı ve Fransız Uber sürücülerinin kişisel verilerini topladı — konum verileri, iletişimler, kimlik belgeleri, sürüş kayıtları ve vergi bilgileri dahil. Bu veriler, yeterli transfer mekanizmaları olmadan Uber'in ABD sunucularına aktarıldı.
Ana bulgular:
- Yetersiz transfer mekanizması: Uber, AP'nin sürücü kişisel verilerinin transferi için yetersiz bulduğu Bağlayıcı Kurumsal Kurallar (BCR'ler) kullandı.
- Transfer Etki Değerlendirmesi Yok: Uber, ABD yasalarının transfer korumalarını zayıflatmadığını gösteren bir TIA gerçekleştirmedi.
- Sürücü verileri hassastır: Konum verileri, kazanç verileri ve performans değerlendirmeleri — bir araya geldiğinde — bireysel sürücülerin kapsamlı izlenmesini sağlar. AP, bu kombinasyonu, artırılmış koruma gerektiren hassas kişisel verilere eşdeğer olarak sınıflandırdı.
€290M cezası, AB uygulama tarihindeki en büyük tek vaka sınır ötesi transfer ihlali cezasıdır. Bu, çalışan/kontratör kişisel verilerinin ABD'ye yapılan veri transferlerinin, tüketici veri transferleri ile aynı titiz TIA ve ek önlemleri gerektirdiğini ortaya koymaktadır.
Hollanda AP'nin 2025 Uygulama Öncelikleri
AP, 2025 uygulama odak alanlarını yayımladı:
Çalışan izleme (%43 vaka): Uzaktan çalışma izleme teknolojisi — verimlilik takibi, ekran görüntüsü alma, tuş kaydı, uzaktan çalışanların konum izleme — Hollanda AP'nin birincil uygulama hedefidir. AP, herhangi bir çalışan izleme için orantılılık belgeleri gerektirir: izleme teknolojisi uygulamadan önce daha az müdahaleci alternatiflerin dikkate alınması ve belgelenmesi gerekir.
Sınır ötesi veri transferleri (%31 vaka): Uber sonrası, AP, ABD, Asya ve yetersiz ülke operasyonlarına sahip Hollanda şirketlerinin transfer mekanizmalarını denetliyor. İnsan kaynakları, proje yönetimi veya müşteri verileri için ABD SaaS araçları kullanan şirketlerin güncellenmiş TIAs'ı olmalıdır.
Otomatik karar verme (%26 vaka): Otomatik kredi puanlama, algoritma tabanlı işe alım taraması ve AI destekli performans değerlendirmesi, Madde 22 yükümlülükleri oluşturur. Hollanda AP uygulaması, yeterli insan inceleme mekanizmaları olmadan Hollandalı çalışanları veya tüketicileri etkileyen algoritmik kararlar kullanan organizasyonlara odaklanmaktadır.
BSN: Hollanda'nın Temel Kimlik Numarası
Burgerservicenummer (BSN), Hollanda'nın 9 haneli vatandaş hizmet numarasıdır ve Elfproef (on bir-proof) doğrulama algoritmasını kullanır — ağırlıklı toplam modül-11 kontrolü.
Elfproef: her rakamı azalan bir ağırlıkla çarpın (9, 8, 7, 6, 5, 4, 3, 2, -1), ürünleri toplayın ve sonuç 11'e tam bölünebilir olmalıdır.
BSN, Hollanda'daki en yasal olarak korunan kimlik numaralarından biridir — BSN Yasası (Wet algemene bepalingen burgerservicenummer), kullanımını belirli yetkilendirilmiş bağlamlarla (vergi, sağlık hizmetleri, devlet hizmetleri, işveren bordrosu) kısıtlar. Yetkilendirilmiş bağlamlar dışında BSN işleyen organizasyonlar, GDPR'ın yanı sıra BSN Yasası altında belirli AP uygulamalarıyla karşılaşabilir.
Tespit sorunu: Genel NLP araçlarının %56'sı BSN numaralarını doğru bir şekilde doğrulamakta başarısız oluyor (AP teknik değerlendirmesi). Elfproef uygulaması olmadan:
- Herhangi bir 9 haneli numara potansiyel BSN olarak işaretlenir — finansal ve idari belgelerde büyük yanlış pozitifler oluşturur.
- Transpoze veya hatalı BSN'ler (manuel veri girişi sırasında yaygındır) Elfproef'i geçemedikleri için gözden kaçıyor ancak 9 haneli formatla eşleşiyor.
Hollanda Dili NER Gereksinimleri
Hollandaca (Nederlands), PII tespiti ile ilgili belirli dil özelliklerine sahiptir:
Bileşik kelimeler: Hollandaca, kelimeleri kapsamlı bir şekilde birleştirir — "persoonsgegevens" (kişisel veriler), "Burgerservicenummer" (vatandaş hizmet numarası). İngilizce veya diğer analitik dillerde eğitilmiş NLP tokenleştiricileri, genellikle Hollandaca bileşikleri yanlış tokenize eder.
Küçültme biçimleri: Hollandaca, isimler için sık sık küçültme biçimleri (-je, -tje son ekleri) kullanır — "Annetje," "Hansje." İsim tanıma modelleri, hem temel formları hem de küçültme biçimlerini ele almalıdır.
Hollanda adres formatları: Sokak türleri için "Straat," "Laan," "Weg," "Plein," "Gracht." Posta kodu formatı: 4 rakam + 2 harf (örneğin, 1234 AB). Hollanda posta kodları oldukça spesifiktir (bireysel sokaklar) — Alman veya Britanya posta kodlarından daha fazla tanımlayıcıdır.
IBAN NL formatı: Hollanda IBAN'ları NL + 2 kontrol rakamı + 4 harfli banka kodu + 10 haneli hesap numarası ile başlar. Hollanda, Avrupa'nın en yüksek temassız ödeme penetrasyon oranlarından birine sahiptir, bu da Hollanda finansal belgelerinin IBAN numaralarıyla yoğun olduğu anlamına gelir.
Hollanda AP uyumu için: Elfproef doğrulaması ile BSN tespiti, Hollandaca dilinde NER (spaCy nl_core_news), Hollandaca IBAN tespiti ve sınır ötesi transferler için belgelenmiş alt işleyici yönetimi teknik temel gerekliliklerdir. Uber sonrası, ABD tedarikçi ilişkileri için Transfer Etki Değerlendirmeleri artık isteğe bağlı değildir — aktif AP denetim hedefleridir.
Kaynaklar: