CPR i nummeroplysningen: Kan stadig supporteres fra tredjelande

10. februar kl. 10:4218
CPR i nummeroplysningen: Kan stadig supporteres fra tredjelande
Illustration: Socialdemokratiet.
Det vurderer justitsministeren, der i et folketingssvar forsikrer retsudvalget om, at man stadig kan bruge EU’s standardkontrakter til at sende persondata ud af EU.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I september sidste år sendte justitsminister, Nick Hækkerup, et lovforslag i høring. Regeringen vil nemlig revidere de danske logningsregler, og et af forslagene lyder på, at danske borgere fremover skal registreres med cpr i nummeroplysningen – også kaldet 118-databasen:

»Formålet er at sikre en entydig identifikation af relevante personer og effektivt understøtte målrettet personbestemt logning. I perioder, hvor der foretages målrettet logning, vil det være afgørende, at de rette personer logges,« skriver Justitsministeriet i pressemeddelelsen fra september.

For nylig har Folketingets retsudvalg undret sig over, hvad det kan betyde for databasens placering og muligheder for support. Et cpr-nummer er nemlig en fortrolig personoplysning, og derfor skal de ydes en ekstra beskyttelse, kræver GDPR.

Forrige år blev mulighederne for at beskytte oplysninger uden for EU skærpet med den såkaldte Schrems II-dom, der underkendte overførselsgrundlaget Privacy Shield, og det har gjort tredjelandsoverførsler til USA meget besværligt.

Artiklen fortsætter efter annoncen

I et spørgsmål til justitsministeren, skriver retsudvalget:

»Vil ministeren be- eller afkræfte, om det følger af EU-domstolens afgørelse i Schrems II-sagen, at databaser, som indeholder CPR-numre, ikke må placeres i og/eller it-supporteres fra tredjelande udenfor EU, og om Schrems II-dommen derfor indebærer, at 118-databasen kun må placeres og/eller it-supporteres fra EU-lande, hvis telebranchen bliver forpligtet til at indberette CPR-numre til registrering i 118- databasen?«

I svaret til retsudvalget skriver justitsministeren også, at man ikke længere kan overføre persondataen ved hjælp af Privacy Shield, men pointerer dog, at EU-Domstolen samtidig fandt, »at Kommissionens vedtagne standardbestemmelser om overførsel af personoplysninger til tredjelande fortsat – efter omstændighederne – vil kunne anvendes til overførsler.«

Derfor kan man stadig sende oplysningerne ud af EU, vurderer han og henviser til, at man kan bruge EUs standardkontrakter. Men ingen steder står der noget om de supplerende foranstaltninger, Domstolen kræver, dataansvarlige skal tilføje dataoverførsler, hvis man eksempelvis vil sende data til USA.

Lige nu sender 118-databasen dog ikke persondata uden for EU, skriver man på hjemmesiden.

Rettelsen den 10/2 2022 klokken 11.12: Tidligere fremgik det af artiklen, at et cpr-nummer er en følsom personoplysning. Det er nu rettet til at være en fortrolig personoplysning.

18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
12. februar kl. 13:18

Persondatalov er blevet afløst af databeskyttelsesforordningen. Så vi er gået fra national lovgivning til EU lovgivning.

Nej, det er ikke tilfældet.

GDPR kom desværre ikke helt i mål med harmoniseringen. Et internationalt firma skal desværre stadig leve op til 27 forskellige implementeringer af GDPR og (mindst) 27 forskellige nationale særlove. Du kan læse om de nationale forskelle her:

https://www.whitecase.com/publications/article/gdpr-guide-national-implementation

16
11. februar kl. 20:28

Jeg er ikke jurist, men efter min opfattelse reguleres CPR i GDPR, hvis der er national særlovgivning (GDPR artikel 87), hvilket der er i Danmark. Derfor får den registrerede GDPR rettigheder, selvom det er CPR-loven.

Nej, omvendt. Nationale særregler træder forud for GDPR. Og de gælder kun i den pågældende medlemsstat.

Artikel 87 henvender sig til de nationale lovgivere, hvor den opstiller nogle rammer, som lovgiverne skal sørge for at overholde, når de formulerer lovgivning om et nationalt identifikationsnummer.

Men ellers er jeg enig i det, du skriver :). Jeg finder det bare unødvendigt at opfinde en ny "fortrolig" oplysningskategori, når man bare kunne henvise til, at CPR skal behandles efter de samme regler som i Art. 9 og anses som "høj risiko". Det ville have samme effekt. Jeg vil argumentere for, måske, endda bedre effekt, fordi en særlig dansk tredje oplysningskategori kun er med til at skabe unødig forvirring, i stedet for at man bare kunne have henvist til GDPRs eksisterende to kategorier.

Det ville man straks kunne forklare til en person, der ikke kender de danske særregler. Alle ville straks kunne være med. Nu skal man i stedet til at sætte sig ind i en helt tredje oplysningskategori, hvor der gælder "særlige" regler, som egentlig er de samme regler, bare maskeret som en tredje kategori af data.

15
11. februar kl. 19:30

GDPR nævner kun almindelige og følsomme personoplysninger. De "fortrolige" personoplysninger er en ekstra kategori, som det danske Datatilsyn selv har opfundet (desuagtet, at CPR aldrig har været designet til at være fortroligt/hemmeligt).</p>
<p>CPR reguleres netop ikke af GDPR, men af den danske Persondatalov.

Jeg er ikke jurist, men efter min opfattelse reguleres CPR i GDPR, hvis der er national særlovgivning (GDPR artikel 87), hvilket der er i Danmark. Derfor får den registrerede GDPR rettigheder, selvom det er CPR-loven. Den nationale særlovgivning findes i lov om Det Centrale Personregister, ikke i Persondataloven.

Datatilsynet har ikke opfundet fortrolighedsbegrebet, men bruger den betegnelse når det bruges i særlovgivninger. I CPR-loven er der implicit tale om fortrolighed i §1 stk 4. Man skal have en "berettiget interesse" for at videregive CPR=fortrolighed.

I særlove bruges begrebet fortrolighed både eksplicit, som i forvaltningsloven(f.eks § 27), og implicit som i CPR-loven(§1 stk4).

Det giver derfor rigtig god mening, at skelne mellem fortrolighedsbegrebet(national særlov) og følsomhedsbegrebet(GDPR).

14
10. februar kl. 22:21

Hvad er forskellen imellem en fortrolig og en følsom personoplysning?

Det er også noget helt særligt dansk - kan jeg huske fra min undervisning i Persondataretten. GDPR nævner kun almindelige og følsomme personoplysninger. De "fortrolige" personoplysninger er en ekstra kategori, som det danske Datatilsyn selv har opfundet (desuagtet, at CPR aldrig har været designet til at være fortroligt/hemmeligt).

CPR reguleres netop ikke af GDPR, men af den danske Persondatalov. Derfor er CPR kun fortroligt i Danmark og ikke i udlandet, hvor CPR er anset som helt almindelig persondata.

12
10. februar kl. 19:50

Man kunne ikke gemme en nøgle sammen med telefonnummeret, som i en anden, og mere følsom database, kunne identificere CPR-nummeret?

Det er det som DK Hostmaster gør, her gemmer CPR registeret DK Hostmasters 'handle'/alias i deres register.

DK Hostmaster har så et abbonnent som er synlig over for borgeren, og de kan så få udleveret kundes opdaterede navn og addresse ud fra dette handle.

Dette har den fordel at DK hostmaster ikke har CPR nummer, og borgeren kan se hvem der har adgang til at få navn og addresse udleveret. Hvis man ikke længere har noget kundeforhold kan man bede om at få abbonnement fjernet.

Og det er kun DK hostmaster der kan bruge dette handle.

11
10. februar kl. 19:37

Dem kan man jo netop købe uden større identifikationsproces...

10
10. februar kl. 16:53

Nu er jeg meget træt, men er hele ideen ikke, at NSA skal kunne vide, hvilke telefonnumre, der ikke bare skal logges men aflyttes?

Kan det ikke gøres bare via telefonnumrene - hvis man har mistanke til konkrete personer, må del vel være muligt målrettet at bede telefonselskaberne om at finde frem til dem - uden cpr-numre?

Koblingen telelogning og telefonnumre, og cpr-numre, som giver kobling til alverdens sociale og sundhedsmæssige forhold, giver mig ubehagelige associationer til mulighed for omfattende samkøring af registre i kontroløjemed. Måske ikke lige nu, hvor loven skal vedtages - men på længere sigt ved vi jo alt om salamimetoden og formålsglidning. Ikke den mindste sociale forseelse må gå under radaren (kinesiske forhold), ikke en bøjet femøre må gå i de forkerte lommer, når/hvis man nu har tekniske mulighed for at afsløre den. Kun forbryderiske nasserøve på systemet og statskassen kan være imod det formål...

(Jeg har sikkert ikke fattet en dyt)

9
10. februar kl. 16:23

Og denne database med identifikationstabellen skulle ligge i et andet og sikkert land? Og ikke kunne ses af vores uden-EU'ske service-mand (m/k)?

Det kan man sikkert godt, men så er det lidt overflødigt at have telefonnummer-tabellen uden for EU.

Nu er jeg meget træt, men er hele ideen ikke, at NSA skal kunne vide, hvilke telefonnumre, der ikke bare skal logges men aflyttes?

8
10. februar kl. 15:02

Man kunne ikke gemme en nøgle sammen med telefonnummeret, som i en anden, og mere følsom database, kunne identificere CPR-nummeret?

5
10. februar kl. 13:03

Hvorfor overhovedet overveje at flytte nummeroplysningen eller vedligeholdelsen af den til tredjelande?

Hvorfor ikke bare stille krav til Nuuday om at data skal forblive i EU/EØS, og hvis den skal beriges med CPR-numre, så skal data blive i DK?

Kan ikke rigtig se behovet for at nummeroplysningen absolut skal flyttes til tredjeland.

4
10. februar kl. 12:45

Kan nogen forklare dette? "Rette personer"? Har vi ikke netop f

Jeg tror det handler om at politiets arbejde skal lettes, så hvis de får lov at aflytte X, så beder de om lov til at aflytte alle telefonnumre som X har.

Politiet har nok en formodning om at der er mange simkort, hvor der ikke er foretaget et grundigt check af hvem vedkommende er og vil derfor gerne have registeret CPR nummer på alle simkort. Underforstået hvis der er mange herreløse simkort, så vil politiet komme efter teleselskaberne.

3
10. februar kl. 12:39

"»Formålet er at sikre en entydig identifikation af relevante personer og effektivt understøtte målrettet personbestemt logning. I perioder, hvor der foretages målrettet logning, vil det være afgørende, at de rette personer logges,«"

Kan nogen forklare dette? "Rette personer"? Har vi ikke netop for få dage siden fået at vide at "målrettet logning" indebærer stort set hele befolkningen? Er det, Hækkerup mener, at når nu man har hele høstakken af loggede borgeres data, så er det afgørende, at man kan finde dem, man faktisk vil kigge nærmere på - og det har man brug for cpr-numre til?

Vil det ikke - via samkøring og logaritmer og den slags - f. eks. gøre målrettet snagen i, hvor folk befinder sig (om en pensionsmodtager f. eks. har været så letsindig at få sig en kæreste, med dertil hørende tidvise overnatning af fremmed - som logges - i hjemmet, hvilket kan medføre ændring i ydelser), mulig - et regelret totalovervågningssamfund? Eller gør jeg Hækkerup værre, end han trods alt er, her?

Og ikke nok med, at vi åbenbart skal logges i hoved og r.... - men vores cpr-nummer, som er adgangsport til mange andre oplysninger, skal nu også sendes verden rundt...

Hækkerups 1984-fantasier har efterhånden udviklet sig til et rent mareridt.

2
10. februar kl. 12:38

»at Kommissionens vedtagne standardbestemmelser om overførsel af personoplysninger til tredjelande fortsat – efter omstændighederne – vil kunne anvendes til overførsler.«

Ja hvis der er tilstrækkelige foranstaltninger, fx kryptering på en måde så databehandleren (med et væsentligt arrangement i USA) ikke kan tilgå data.

Det er med min begrænsede viden kun muligt hvis data krypteres men en nøgle som databehandleren ikke kan komme i nærheden af at kende.

Igen med min begrænsede viden, betyder det at data kun kan opbevares, som i data at rest, hos databehandleren. Databehandleren kan ikke anvendes til at tilgå data fx i en SQL data.

1
10. februar kl. 11:30

Hvad er forskellen imellem en fortrolig og en følsom personoplysning?