anonym.legal

By · Last updated 2026-05-18

Bloga DönGDPR & Uyumluluk

IMY İsveç: Kişi Numarası, Koordinasyon Numarası ve...

IMY, genel araçların %45'inin İsveç kişi numarasını atladığını buldu. Koordinasyon numarası (60-offset) çoğu uygulama tarafından göz ardı edildi.

May 18, 20267 dk okuma
Sweden IMYpersonnummer LuhnsamordningsnummerSwedish GDPR technicalNordic compliance

İsveç'in Integritetsskyddsmyndigheten (IMY) tarafından yapılan PII araçlarının teknik değerlendirmesi, kişi numarası tespitinde %45'lik bir başarısızlık oranı buldu — İsveç'in birincil ulusal tanımlayıcısı. İsveç'teki veri sahiplerinin yıllık olarak GDPR haklarını kullanma oranı %79 (AB'deki en yüksek oran) olduğundan, otomatik PII tespit doğruluğu, operasyonel uyum kapasitesini doğrudan etkiler.

Kişi Numarası: Luhn Doğrulaması ve Koordinasyon Numarası Açığı

İsveç kişi numarası (kişisel kimlik numarası) formatı: YYMMDD-XXXX (10 karakter) veya YYYYMMDD-XXXX (12 karakter). Son rakam, Luhn algoritması kullanılarak doğrulanır.

Luhn algoritması: Sağdan sola doğru her ikinci rakamı iki katına çıkarın. Eğer iki katına çıkarma iki basamaklı bir sayı üretiyorsa, rakamları toplayın. Tüm rakamları toplayın. Sonuç 10'a tam bölünebilir olmalıdır.

Luhn algoritması, kredi kartı numaraları ve SIN (Kanada Sosyal Sigorta Numarası) ile paylaşılmaktadır. Ancak, kişi numarasının tarih bileşeni (YYMMDD), finansal hesap Luhn doğrulamasından farklı olan belirli doğrulama kısıtlamaları yaratır.

Koordinasyon numarası sorunu: Yabancı sakinlerin kişi numarası almadan önce kimliklendirme için kullandığı İsveç koordinasyon numarası aynı formatı kullanır — ancak doğum günü rakamlarına 60 ekler:

  • 15 Ocak'ta doğan kişi numarası: YYMMDD = YY0115
  • Aynı doğum tarihi için koordinasyon numarası: YYMMDD = YY0175 (15 + 60 = 75)

Bu, koordinasyon numarasının doğum günü değerlerini 61-91 (kişisel numara için 01-31 yerine) kullandığı anlamına gelir. Doğum gününü 01-31 ile kontrol ederek kişi numarasını doğrulayan uygulamalar, geçerli koordinasyon numarasını reddedecek ve yabancı sakinlerin İsveç iş belgelerindeki koordinasyon numaralarını tanımlamakta başarısız olacaktır.

İsveç'in yabancı doğumlu nüfusu toplam nüfusun yaklaşık %20'sini temsil etmektedir. İşverenler, sağlık hizmeti sağlayıcıları ve yabancı sakinlerin verilerini işleyen finansal hizmetler için, koordinasyon numarası açığı, nüfuslarının birincil tanımlayıcısının önemli bir kısmının tespit edilememesi anlamına gelir.

IMY'nin Pratik Anonimleştirme Gereksinimleri

IMY'nin anonimleştirme kılavuzu (2023) — 12 diğer DPA tarafından referans alınan AB'nin en ayrıntılı teknik anonimleştirme kılavuzu — İsveç kişisel verilerini işleyen kuruluşlar için şu gereksinimleri belirler:

k-anonimlik ≥ 5: Araştırma, analiz veya ikincil kullanım için yayımlanan veri setleri en az k=5 (her birey, tüm yarı tanımlayıcı özelliklerde 4 diğerinden ayırt edilemez) sağlamalıdır. İsveç veri setlerindeki yarı tanımlayıcılar genellikle yaş, cinsiyet, belediye ve meslek gibi özellikleri içerir — bunların kombinasyonları, İsveç'in nispeten küçük nüfusu göz önüne alındığında, hızla küçük gruplara daralır.

Sağlık verileri için l-çeşitlilik: Sağlık veya finansal bilgi içeren veri setleri için, k-anonimlik ile birlikte l-çeşitlilik gösterilmelidir — yalnızca k-anonimliğin engellemediği çıkarım saldırılarını önlemek için.

Resmi doğrulama: Birçok AB DPA kılavuzunun aksine, IMY anonimleştirme iddialarının doğrulanabilir olması gerektiğini açıkça belirtmektedir — kuruluş, k-anonimlik ve l-çeşitlilik eşiklerinin karşılandığını teknik belgelerle gösterebilmelidir, sadece uyumu iddia etmek yeterli değildir.

%79 Hak Kullanma Oranı: Operasyonel Etkiler

İsveç'in olağanüstü yüksek GDPR hak kullanma oranı (%79 yıllık — IMY 2024 anketi), İsveç kişisel verilerini işleyen kuruluşların öngörmesi gereken operasyonel talepler yaratmaktadır:

Erişim hakkı: İsveç veri sahipleri, kendileri hakkında tutulan tüm kişisel verilerin tam kopyalarını düzenli olarak talep etmektedir. 50.000 İsveçli müşterisi olan bir şirket için bu, yılda yaklaşık 39.500 erişim talebi anlamına gelir — her biri 30 gün içinde yanıt gerektirir.

Silme hakkı: İsveç veri sahipleri, hesap kapatıldıktan veya hizmet sona erdikten sonra sıklıkla silme hakkını kullanmaktadır. Kuruluşlar, tüm sistemler üzerinde — sadece birincil veritabanında değil, yedeklerde, analiz platformlarında ve AI eğitim veri setlerinde — tam silme gerçekleştirebilmelidir.

Otomatik yanıt altyapısı: %79'luk hak kullanma oranında, hak taleplerinin manuel işlenmesi operasyonel olarak sürdürülebilir değildir. İsveç kullanıcı tabanına sahip kuruluşların, hak taleplerine ölçekli olarak yanıt verebilen otomatik kişisel veri envanteri ve geri alma sistemlerine ihtiyaçları vardır.

Kişi numarasını (Luhn doğrulaması ile), koordinasyon numarasını (60-offset gün işleme ile) ve İsveççe NER'i doğru bir şekilde tanımlayan PII tespiti, İsveç'in hak kullanma kültürünün operasyonel olarak talep ettiği otomatik kişisel veri envanterini mümkün kılar.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.