Antallet af CPR-læk syvdoblet på fem år

Offentlige myndigheder lækker stadig oftere borgernes CPR-numre på internettet. På fem år er antallet af sager steget fra 10 til 70.

Datatilsynet har travlt med at dæmme op for myndighedernes lemfældige omgang med CPR-numre blandt andet på nettet. Antallet af sikkerhedsbrister er siden før 2008 steget fra 10 til cirka 70 sager om året. En sag kan dække et læk på flere tusinde personnumre. Det skriver Morgenavisen Jyllands-Posten.

Læs også: CPR-numre ligger frit tilgængelige på nettet

Senest har der ligget hemmelige personoplysninger frit tilgængelige på Folketingets og Naturstyrelsens hjemmeside. De offentlige myndigheder handler således i strid med persondataloven, og formanden for Rådet for Digital Sikkerhed ser en uheldig trend i stigningen:

»Der er en tendens til, at myndighederne er blevet mere lemfældige med cpr-numre og ikke opbevarer dem sikkert nok,« siger Birgitte Kofod Olsen, formand for Rådet for Digital Sikkerhed, til avisen.

Jyllands-Posten skriver videre, at de er i besiddelse af billeder, der dokumenterer over tusind fysiske patientjournaler, der har ligget frit tilgængelige på Herlev Hospital. Peter Kruse, ekspert i cyberkriminalitet, advarer om, at man nemt kommer galt afsted, hvis ens personnummer falder i de forkerte hænder.

»Der er rige muligheder for at komme i alvorlige problemer, hvis ens cpr-nummer ligger frit tilgængeligt. Det kan bl.a. bruges til at optage lån med, oprette kontokort, tjekke folks økonomi og i det hele taget snage i andre folks privatliv,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Leif Neland

»Der er rige muligheder for at komme i alvorlige problemer, hvis ens cpr-nummer ligger frit tilgængeligt. Det kan bl.a. bruges til at optage lån med, oprette kontokort, tjekke folks økonomi og i det hele taget snage i andre folks privatliv,« siger Peter Kruse.

Det er jo det, der er problemet, at kendskab til cprnr bruges som autentifikation.

  • 6
  • 0
Maciej Szeliga

Offentliggørelse vil ikke ændre på noget hvis lovgivningen forbliver så tåblig som den er.
Vores kære folkevalgte har besluttet sig for at være bedre IT-sikekrhedseksperter end sikkerhedseksperterne og før nogen ribber dem for alle pengene og sælger deres luksusvilla så vil der ikke ske noget.

  • 3
  • 1
Jesper Jepsen

Hk reklamere voldsomt med at de kun sender breve ud via deres elektroniske post system. Dog sender de også alm papir breve ud komplet med Cpr nummer. Forespurgt om hvorfor de sender breve ud med cpr nummeret i var svaret "får vi i disse undtagelsessituationer sender papirbreve vil brevet ligesom før i tiden blive forsynet med medlemmets cpr. nr. af hensyn til vores mulighed for at kunne identificere de enkelte breve."
På dansk, vi er for dovne til at bruge et tilfældigt reference nummer. Så det foresætter vi med. ...
Så indtil at Cpr nummerene offentliggøres fuldt og det gøres ulovligt at anvende dem til at koble på mod personfølsomme oplysninger, ja så kæmper folket forgæves mod politikere og systemer der er for dovne til at lytte og lære.

  • 2
  • 0
Finn Christensen

Datatilsynet har travlt med at dæmme op for myndighedernes lemfældige omgang med CPR-numre blandt andet på nettet. Antallet af sikkerhedsbrister er siden før 2008 steget fra 10 til cirka 70 sager om året. En sag kan dække et læk på flere tusinde personnumre.

Hvordan kan 'man dæmme op' når der sker en stigning på ~600% på årsbasis - man har tværtom huller i dæmningen!

Lægger man mørketallet (skjulte og ukendte) til, så har vi overskredet de 1000%.

Hvis trafikulykker, skudepisoder eller tilsyn med fødevarer fortæller, at det år for år går lige modsat af det, der var formålet... så var der gang i mediemøllen.

Datatilsynet er en gammel papirtiger - tandløs - og det ved de derude.

  • 0
  • 0
Jesper Lund

Datatilsynet har travlt med at dæmme op for myndighedernes lemfældige omgang med CPR-numre blandt andet på nettet. Antallet af sikkerhedsbrister er siden før 2008 steget fra 10 til cirka 70 sager om året.

Forslag: for hvert lækket CPR nummer skal den offentlige institution (eller private virksomhed, lad os bare tage dem med) betale en skattefri godtgørelse på 10.000 kroner til den berørte borger. Beløbet er fastsat som en skønsmæssig kompensation for at borgeren skal bruge tid og penge på at afværge fremtidige mulige identitetstyveri som følge af den offentlige institutions sløseri.

Lækage af 50 CPR nummer koster således en halv million. Nu er der et økonomisk incitament til at få styr på sikkerheden. Det kunne for eksempel være et program/script som i realtime checker alt indhold for CPR numre inden dette indhold vises af webserveren. Hvorfor er der ingen som har lavet det?

Mange virksomheder vil formentlig helt holde op med at registrere CPR numre, hvis en sådan ordning blev indført. Det vil kun være positivt.

I har vi den groteske situation at offentlige institutioner ikke kan idømmes bøder for at overtræde persondataloven. Når det er gratis for dem at skalte og valte med vores persondata, har de selvsagt ikke det nødvendige økonomiske incitament til at passe på vores ofte følsomme data. Det bør der laves om på.

  • 3
  • 0
Kristian Sørensen

Måske der mangler et mærkbart incitament til at tage borgernes sikkerhed alvorligt.

Er så meget som en eneste offentligt ansatte blevet straffet for at lægge en borgers fortrolige oplysninger på nettet?

Jeg gætter på at det offentlige selv har valgt at sådanne forsømmelser kan klares med et simpelt mundtligt "undskyld" eller endnu mindre.

Hvornår kommer der folkelig opbakning til en praksisændring så forbrydelser begået af offentligt ansatte i tjenesten bliver straffet efter loven?

Paragrafferne findes allerede bl.a. i Straffelovens kapitel 16, det er bare forsvindende sjældent at den offentligt ansatte offentlige anklager vælger at rejse tiltale mod offentligt ansatte, noget bemeldte gruppe offentligt ansatte har monopol på at gøre.

  • 2
  • 0
David Olsen

Det er nu både myndigheder og folk selv, der har en lidt lemfældig omgang med deres CPR ifølge mine egne erfaringer - og jeg har MANGE af den slags erfaringer.

Mit private domæne minder meget om det domæne en del læger benytter. Det er ikke ualmindeligt jeg får emails tiltænkt læger, eller mails mellem læger og det offentlige. Bestillinger af receptmedicin, fakturaer fra statens seruminstitut og en enkelt mentalundersøgelse i forbindelse med en tiltale er det da os blevet til. For ikke så lang tid siden fik jeg en komplet elev-liste tilsendt fra en efterskole. Navn, CPR, adresse og telefonnummer på samtlige elever.

Med den udbredte brug vi har nu af CPR-nummer er eneste løsning at lave CPR fuldstændig offentligt. Det vil være et klart signal til alle om at det på ingen måde kan bruges til at bevise hvem man er. Det bør udelukkende bruges som et unikt ID på hvem man er. Virksomheder og offentlige institutioner må så finde en anden måde at verificere hvem man er når man henvender sig. Evt et nyt borgerkort med en længere og mere avanceret kode på som tillæg.

  • 1
  • 0
Mickey Rasmussen

CPR numre er på ingen måde personlige! Ældre personnumre kan beregnes via en kompliceret algoritme, hvis man kender fødselsdagen.
Udover det er det kun de sidste 4 der er bare en smule personlige. Det allersidste ved man dog med kendskab til kønnet om det er lige eller ulige.

Alle medarbejdere i teleselskaber, det offentlige, banker, kredit institutioner, læger, special læger, private sygehuse og mange andre har adgang til folks personlige data. Private virksomheder kan ligeledes købe sig adgang til CPR registreret.

Hvis du med en meget lille virksomhed, som omsætter for under 50.000 om året ikke ønsker at blive moms registreret, skal du angive dit CPR på fakturaen til din kunde.

CPR numre bliver dagligt af samtlige instanser sendt frem og tilbage i klar tekst, både på E-mail og snail-mail!

Altså er CPR numre ikke personlige, og nemme at opsnappe.

Jeg kender fulde adresse, navn og CPR på 2 kammerater, pga. Mange års kendskab til dem. Det er ikke fordi jeg vil kende dem, men har en god hukommelse når det kommer til tal - kan også deres telefon numre i hovedet.

Altså igen, CPR numre er en entydig identifikation af en person, men ikke hemmeligt... Som flere andre nævner må det være muligt at lave en 100% personlig og unik id på mennesker, som kun behandles i digitale krypterede systemer!

  • 2
  • 1
Mikael Ibsen

de gør kun noget for udvalgte interessegrupper, som senere kan betale dem tilbage med stemmer. Derfor er et område som CPR-sikkerhed fuldstændig uinteressant for en politiker at rode op i; det giver kun surhed i administrationerne, og en masse spildt ulejlighed uden gevinst for den naive politiker, som alligevel måtte formaste sig til en sådan brødløs udfordring.
Den eneste mulighed for at få gennemført effektive ændringer ligger hos den fjerde statsmagt, herunder dagspressens kulørte afdeling, som ved systematisk at køre på fx. justitsministeren i en længere periode, har en vis chance for at trænge igennem den etablerede mur af uvilje mod ændringer i et etableret system, som kører godt for de fleste - med undtagelse af et hårdt ramt, men politisk ligegyldigt mindretal.

  • 4
  • 0
Tine Andersen

Kan også gøre det: Vi fik tilsendt et brev til en person, der hedder næsten det samme som min nørdemand, dog var adressen og postnummeret (Glumsø ligger ikke på Fyn, og vores adresse er unik) helt i skoven. Den indeholdt vedkommendes cpr og login (password) til AF.
Og ja, jeg fik åbnet brevet, da navnet som sagt kunne være korrekt for en i husstanden boende person, adressen var derimod ret ulæseligt printet oveni nogen fortrykte felter, og postens sortering eller hvad, mente vi skulle have det brev.

Det er en ret alvorlig sag, hvis man ikke får logget rettidigt på AF (koster knaster), så vi sendte en mail til personen og destruerede brevet.

Det er også et uheldigt tilfælde, vi kunne muligvis have skabt ulykker for en sagesløs person fordi Glumsøs kommune ikke kan lægge papir korrekt i en printer/tjekke deres breve- og posten. (Der nok var en afløser her op til jul/nytår).

Sjusk!

Mvh
Tine- der overvejede at tilbyde personalet i Glumsø et kursus i at printe og læse korrektur...

  • 2
  • 0
Log ind eller Opret konto for at kommentere