Studerende på Aarhus Universitet, der gerne vil finde en praktikplads eller en makker til en opgave, har de seneste fem år skulle logge på websiden projektzone.dk med deres CPR-nummer som brugernavn. Men login-siden har alle årene været en almindelig http-side uden kryptering.
Det er it-folkene på universitetet ikke stolte af.
»Ja, det er beskæmmende, og jeg har også haft ondt i maven over lige netop det,« lyder reaktionen fra specialkonsulent Jørgen Bak fra universitetets fælles it-driftsafdeling.
Han gjorde for et år siden websidens organisatoriske bagmænd på universitetet opmærksomme på, at det var et problem, og resultatet er, at en ny login-procedure netop i dag bliver lanceret, med https-protokol og SSL.
Ifølge Datatilsynet er CPR-numre 'højt beskyttede' personfølsomme oplysninger, og det er et krav, at personnumrene kun sendes over internettet i krypteret form. Tilsynet har adskillige gange kritiseret private og offentlige websider for netop denne fejl.
Gammel PHP-kode spændte ben
At der skulle gå et år fra Jørgen Bak opdagede problemet, til det blev løst, forklarer han med, at det ikke var så lige til at få indlagt kryptering som planlagt. Siden var nemlig skrevet i en gammel udgave af sproget PHP, som ikke umiddelbart kunne bruges efter et skift til https.
»Det var noget gammel kode, som foretager kald til en Oracle-database, og det kunne det kun gøre i klartekst. Så for at ændre det, skulle vi skifte til nyere biblioteker. Så koden skulle skrives om og tjekkes af,« forklarer han.
Projektet blev også udskudt undervejs på grund af travlhed, og i mellemtiden anbefalede han, at siden blev lukket ned. Men det var der ikke grønt lys til fra dem, der stod for projektzone.dk-ordningen.
Selvom Jørgen Bak er helt klar over, at den ukrypterede version ikke er acceptabel, peger han på, at CPR-numrene trods alt ikke blev offentliggjort på en webside.
»Den er dum, men det er dog ikke sådan en fejl, hvor vi virkeligt hænger folk ud med CPR-numre, der er frit tilgængelige for alle,« siger han.
Hvorfor den ukrypterede løsning blev valgt oprindeligt for fem år siden, kan hverken Jørgen Bak eller webmasteren hos projektzone.dk-ordningen dog hjælpe med at opklare, da ingen af dem har været involveret i projektet så længe.
Unge beskytter ikke deres personnummer
Det har i øvrigt været meget småt med reaktioner fra de studerende, og det er måske faktisk i sig selv lidt bekymrende, lyder det.
»I virkeligheden skulle folk jo gerne lære, at de skal tjekke den slags, når de opgiver deres CPR-nummer et sted,« mener han.
For nyligt blev alle universitetets websider tjekket for, om der lå nogle frit tilgængelige CPR-numre. Afsøgningen afslørede ét personnummer i det fri - og det var lagt op af en studerende selv.
»Unge i dag oplyser deres CPR-nummer til hvem som helst. Men det er jo et problem, for du kan for eksempel gå hen i en bank og sige et CPR-nummer og så få alt muligt at vide,« siger Jørgen Bak.
Slip personnumrene fri
Helst så han, at CPR-numrene fik en ny status i Danmark, så de kunne bruges af hvem som helst uden at de skal behandles som beskyttede oplysninger og uden behov for ekstra sikkerhed. Det ville så kræve, at kendskab til andres CPR-nummer ikke kunne misbruges så nemt, som det kan i dag.
»Jeg synes, man skal slippe CPR-numrene fri. Det er jo praktisk at have et nummer, der er unikt for hver person, som kan bruges af alle, og i forvejen oplyser vi det jo i mange sammenhænge,« siger han og understreger, at hans forslag ikke er et forsøg på at undskylde, at universitetet ikke havde beskyttelsen på plads på projektzone.dk.
På universiteterne landet over bliver CPR-numre brugt som studienummer, og ofte skal for eksempel opgaver, som afleveres skriftligt, være markeret med CPR-nummer. Som statslig organisation har universiteterne lov til at bruge personnumrene i administrationen, hvis de behandles forsvarligt.
Men her kniber det tit. Seneste runde af sager hos Datatilsynet viser således, at både Aalborg Universitet, Københavns Universitet og Copenhagen Business School har offentliggjort studerendes CPR-numre. Da det ikke er første gang, det sker, har Datatilsynet valgt at bede Videnskabsministeriet om at skrue bissen på over for universiteterne, så omgangen med personoplysningerne bliver mindre mangelfuld.
