anonym.legal
Назад до блогуGDPR та відповідність

Dutch AP: AVG/GDPR відповідність та BSN в Нідерландах

Autoriteit Persoonsgegevens (Dutch AP) активно застосовує GDPR/AVG в Нідерландах.

April 21, 20269 хв читання
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

Dutch AP: Профіль регулятора

Autoriteit Persoonsgegevens (AP) — нідерландський орган захисту даних — став відомим після низки резонансних рішень проти великих платформ і урядових органів.

Ключові факти:

  • Нідерланди імплементували GDPR через Uitvoeringswet AVG (UAVG)
  • AP мав бюджет €25 мільйонів у 2024 році — значно більший за середній EU DPA
  • Активний у розслідуванні ШІ та алгоритмічних рішень

Значні рішення:

  • 2022: TikTok — €750 000 за обробку даних дітей без нідерландської Privacy Policy
  • 2021: Uber — рекомендований штраф (остаточно вирішений CNIL) €290 мільйонів
  • 2023: SyRI — скасування алгоритмічної системи виявлення соціального шахрайства
  • 2024: Розслідування щодо HR-систем і скринінгу кандидатів

BSN (Burgerservicenummer): Особливий статус

Що таке BSN

Burgerservicenummer — нідерландський номер соціального страхування, 8-9 цифр.

Формат: 8-9 цифр

Алгоритм валідації (11-проба):

  • Ваги для 8-значного BSN: [9, 8, 7, 6, 5, 4, 3, 2, -1]
  • Сума = сума (кожна цифра * вага)
  • BSN дійсний, якщо sum % 11 == 0
def validate_bsn(bsn: str) -> bool:
    if not bsn.isdigit():
        return False
    digits = bsn.zfill(9)
    if len(digits) not in [8, 9]:
        return False
    weights_9 = [9, 8, 7, 6, 5, 4, 3, 2, -1]
    total = sum(int(digits[i]) * weights_9[i] for i in range(9))
    return total % 11 == 0

Правовий статус BSN у UAVG

UAVG ст. 46 встановлює особливі правила для BSN:

  • Обробка BSN дозволена лише для визначених законом цілей
  • Приватні компанії можуть використовувати BSN ЛИШЕ якщо вимагає конкретний закон
  • Добровільне зберігання BSN приватними компаніями без правової підстави — порушення

Дозволена обробка BSN:

  • Роботодавці (для податкових і соціальних цілей)
  • Медичні установи
  • Банки та фінансові організації (для AML)
  • Навчальні заклади (для DigiD)

ЗАБОРОНЕНА обробка BSN:

  • Торгові компанії для ідентифікації клієнтів (якщо немає спеціальної норми)
  • Збір BSN «на всяк випадок»
  • BSN у маркетингових базах даних

Ключові рішення AP з технічними уроками

SyRI: Алгоритмічна система виявлення шахрайства

AP підтримала рішення суду про скасування SyRI — урядової системи аналізу ризиків, що поєднувала дані з різних урядових баз для виявлення потенційних отримувачів соціальних виплат.

Урок: Масштабна кросова обробка даних громадян без прозорості та можливості оскарження порушує GDPR.

TikTok: Дитяча конфіденційність

TikTok отримала штраф за відображення нідерландського інтерфейсу англійською мовою (без нідерландської), що порушувало право дітей на зрозумілу інформацію.

Урок: Privacy Notice для аудиторії в Нідерландах повинна бути нідерландською.

HR-скринінг кандидатів

AP розслідувала компанії, що зберігали BSN або копії ID-документів на етапі попереднього відбору кандидатів.

Урок: BSN можна збирати лише після прийому на роботу (для податкових цілей), не під час підбору. Копії паспортів для скринінгу — мінімальний обсяг даних.

Технічні вимоги AP

Системи обробки BSN

  1. Ізоляція зберігання: BSN зберігається в окремій системі з суворим RBAC
  2. Шифрування: AES-256 у стані спокою, TLS 1.2+ при передачі
  3. Аудит доступу: Кожен доступ до BSN логується
  4. Строки зберігання: Чітко визначені, автоматичне видалення

DPIA для нових систем

AP опублікував власний перелік типів обробки, що вимагають DPIA:

  • Системи профілювання для рішень з великим впливом
  • Обробка чутливих категорій у великому масштабі
  • BSN в нових системах завжди потребує DPIA

Cookies та трекінг

AP є одним з найактивніших регуляторів щодо cookie compliance:

  • Consent Banner повинен мати рівнозначні варіанти (Accepteer/Weiger)
  • Відмова від cookies не повинна вимагати більше кроків, ніж прийняття
  • Pre-checked boxes заборонені

Практичні рекомендації для нідерландських компаній

  1. Аудит BSN: Перевірте всі системи, де зберігається BSN — є законна підстава?
  2. Privacy Notice нідерландською: Всі повідомлення для нідерландської аудиторії — нідерландською
  3. Cookie consent: Перевірте відповідність стандартам AP (еквівалентні варіанти прийняти/відхилити)
  4. HR-процеси: BSN і копія паспорта — тільки після прийому на роботу
  5. Алгоритмічні системи: Якщо використовуєте профілювання — задокументуйте логіку та забезпечте право на оскарження

Висновок

Dutch AP є технічно грамотним і активно застосовує GDPR, особливо щодо BSN, алгоритмічних систем і дитячої конфіденційності. Для компаній, що обробляють дані нідерландських резидентів — обов'язкові: DPIA для нових систем, строгий контроль BSN, нідерландськомовні повідомлення.

Джерела:

Схожі статті

GDPR та відповідність

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR та відповідність

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR та відповідність

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готові захистити свої дані?

Почніть анонімізувати PII з 285+ типами сутностей на 48 мовах.

Почати безкоштовну пробну версіюПереглянути функції