anonym.legal

By · Last updated 2026-06-05

Назад до блогуGDPR та відповідність

Нідерландський AP: штраф €290 млн та виконання GDPR

Нідерландський AP наклав найбільший штраф ЄС за передачу даних — €290 млн проти Uber. BSN (нідерландський ССН) потребує перевірки Elfproef, яку пропускають 56% інструментів.

June 5, 20269 хв читання
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

Нідерландська Autoriteit Persoonsgegevens (AP) оштрафувала Uber на €290 мільйонів у серпні 2024 року. Підставою стало передавання даних водіїв на сервери в США без дійсної угоди про передачу. Жодна справа за GDPR не породила більшого штрафу за транскордонну передачу даних. AP також опрацювала понад 21 400 скарг у 2023 році, що робить її одним із найзавантаженіших регуляторів даних в Європі.

Що AP встановила у справі Uber

Uber збирав дані від водіїв у Нідерландах та Франції. Дані включали: геолокаційну історію, документи, що посвідчують особу, записи про заробіток, відомості про дорожні інциденти та податкові документи. Усе це передавалося на сервери в США. AP визнала метод передачі недійсним.

Три висновки стали вирішальними:

  • Слабкий механізм передачі: Uber використовував Binding Corporate Rules (BCR). AP встановила, що вони не охоплювали обсяг і чутливість задіяних даних водіїв.
  • Відсутність оцінки впливу на передачу (TIA): Uber не довів, що законодавство США забезпечує збереження погоджених засобів захисту передачі.
  • Чутливі дані у сукупності: геолокаційна історія, оплата та оцінки продуктивності разом дають детальний профіль кожного водія. AP розцінила таку комбінацію як еквівалент чутливих персональних даних.

Справа Uber встановлює чітке правило. Дані персоналу та підрядників, що передаються до США, потребують такої самої TIA і додаткових заходів, що й споживчі дані.

Пріоритети виконання AP на 2025 рік

Оновлено для 2026 року

AP визначила три сфери, за якими пильно стежитиме у 2025 році.

Моніторинг персоналу: інструменти відстеження віддаленої роботи — головний об'єкт уваги. Це стосується журналів продуктивності, знімків екрана, реєстрації натискань клавіш і засобів геолокації. Перш ніж запроваджувати будь-який такий інструмент, компанії мають задокументувати, чому вони відмовилися від менш інтрузивних варіантів.

Транскордонні передачі даних: після рішення у справі Uber AP перевіряє механізми передачі. Компанії, що використовують сервіси з США, Азії та інших країн, що не мають рішення про адекватність, підпадають під перевірку. Будь-яка компанія, що використовує американські програмні інструменти для HR, управління проєктами або роботи з клієнтами, повинна мати актуальну TIA.

Автоматизовані рішення: системи кредитного скорингу на основі ШІ, фільтри найму та системи оцінки ефективності активують обов'язки за Статтею 22. AP контролює організації, що ухвалюють автоматизовані рішення без реального кроку людської перевірки. Під захистом мають бути і працівники, і споживачі.

BSN: захищений національний ідентифікатор

Burgerservicenummer (BSN) — це 9-значний ідентифікаційний номер, що використовується в Нідерландах. Він перевіряється за алгоритмом Elfproef (перевірка на одинадцять). Щоб виконати перевірку: помножте кожну цифру на ваговий коефіцієнт від 9 до −1, складіть результати — загальна сума повинна ділитися на 11 без остачі.

Закон про BSN (Wet algemene bepalingen burgerservicenummer) обмежує використання BSN конкретними правовими контекстами: оподаткування, охорона здоров'я, державне управління та нарахування заробітної плати роботодавцем. Використання BSN поза цими контекстами спричиняє застосування Закону про BSN. Поверх цього накладається відповідальність за GDPR.

Чому загальні інструменти пропускають BSN: багато NLP-інструментів не включають перевірку Elfproef. Без неї будь-який 9-значний рядок позначається як можливий BSN. Це породжує хибнопозитивні результати у фінансових і адміністративних документах. Неправильно введені BSN також пропускаються: вони не проходять перевірку, але виглядають як дійсний шаблон. Дивіться наш посібник з виявлення EU national tax ID та PII для повного порівняння форматів европейських ідентифікаторів.

NER для нідерландомовних документів

Нідерландська мова (Nederlands) має особливості, які стають пасткою для моделей, навчених на англійській.

Складні слова: нідерландська мова з'єднує слова разом. Persoonsgegevens (персональні дані) і Burgerservicenummer (ідентифікаційний номер громадянина) — кожне є одним словом. Моделі, побудовані для англійської, часто розбивають їх у неправильному місці. Це руйнує виявлення сутностей.

Закінчення імен: суфікси -je і -tje зустрічаються в іменах — Annetje, Hansje. Моделі розпізнавання імен повинні обробляти як базову форму, так і скорочену.

Формати адрес: типи вулиць включають Straat, Laan, Weg, Plein і Gracht. Поштові індекси складаються з чотирьох цифр і двох літер (приклад: 1234 AB). Кожен код відповідає одній вулиці, тому розкриває більше інформації, ніж більшість европейських поштових індексів.

Формат IBAN: нідерландські IBAN складаються з 18 символів: NL + 2 контрольні цифри + 4-літерний код банку + 10-значний номер рахунку. У країні широко використовуються безготівкові платежі, тому фінансові документи містять багато IBAN. Щодо методів підрахунку впевненості для різних типів ідентифікаторів, дивіться бінарне виявлення PII та підрахунок впевненості.

Технічний контрольний список для відповідності AP

Для дотримання поточних стандартів AP системи обробки даних потребують:

  1. Виявлення BSN з Elfproef — простого пошуку за шаблоном недостатньо
  2. NER для нідерландської мови — модель на кшталт spaCy nl_core_news обробляє складні слова та скорочені імена
  3. Виявлення IBAN — з урахуванням формату, а не узагальнено
  4. Записи про субпроцесорів для всіх транскордонних передач
  5. TIA для постачальників із США — активний пріоритет аудиту AP після рішення у справі Uber

Після справи Uber TIA для постачальників із США є базовою вимогою, а не найкращою практикою. Повний розбір рішення та його наслідків для передачі даних дивіться у посібнику AP щодо штрафу Uber та транскордонної передачі.

Джерела

Схожі статті

GDPR та відповідність

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR та відповідність

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR та відповідність

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готові захистити свої дані?

Почніть анонімізувати PII з 285+ типами сутностей на 48 мовах.

Почати безкоштовну пробну версіюПереглянути функції

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.