Fra CPR til identitet: Skat.dk udleverer mail og telefonnummer i bytte for CPR

Illustration: REDPIXEL.PL/Bigstock
Med Skat.dk og Google kan et CPR-nummer hurtigt byttes til en komplet personprofil. Det er sjusk med persondatasikkerheden, mener IT-Politisk Forening.

Over fem millioner CPR-numre og tilhørende sundhedsdata havnede sidste år i forkerte hænder, da et anbefalet brev med ukrypterede CD’er fra Statens Serum Institut blev fejlleveret af posten.

Sagen gør det relevant at overveje, hvor svært det er at finde frem til en person på baggrund af et CPR-nummer. Og det er faktisk ikke svært - takket være en service, som Skat udbyder.

Læs også: Ukrypterede CD'er med sundhedsdata på fem millioner danskere havnede hos kinesisk firma

På Skat.dk kan enhver indtaste et CPR-nummer for at bestille en ny kode til Skats TastSelv-service. Når personnummeret er tastet kan man vælge mellem at modtage koden på SMS, mail eller fysisk post.

Vælger man en af de to første valgmuligheder viser Skats hjemmeside troligt det telefonnummer eller den mail, der er knyttet til personen med CPR-nummeret.

Sådan giver Skat hendholdsvis mail og telefonnummer i bytte for et CPR-nummer, når man beder om en kode til TastSelv. Illustration: SKAT

Dårligt design

Opdagelsen kommer bag på Jesper Lund, der er formand for IT-Politisk Forening.

»Det lyder nærmest som om, de viser information, der er til debugging-formål i deres egen hjemmeside. Jeg er overrasket over, at de sjusker så meget med persondatasikkerheden,« siger han til Version2.

»Det lyder som et meget dårligt design. De bør ikke vise de her oplysninger, det er der ingen grund til,« fortsætter Jesper Lund.

Læs også: Skat: 4 år og 100 mio. kr. sat af til kontrolleret nedlukning af skandaleramt it-system

Hvis man kan gå fra at have et CPR-nummer til at få både telefonnummer og mail, er man sandsynligvis ikke mange Google-søgninger fra navn, adresse og Facebookprofil, påpeger Jesper Lund, der i det hele taget ikke har meget til overs for den måde Skat har indrettet tjenesten på.

»Hele sitet lyder meget usikkert. Ideen om at du kan få en engangskode på en almindelig mail, virker meget usikker. Jeg ville foretrække, at koden blev sendt i brevpost til folkeregisteradressen.«

Det er uklart om Skats side blokerer for gentagne indtastninger og på den måde beskytter mod forsøg på at gætte et CPR-nummer.

CPR er langt fra hemmeligt

Det har længe været en fejltagelse at betragte CPR-nummeret som en hemmelig oplysning, understreger Jesper Lund.

»Det er blevet lækket så mange gange, at det er en tabt kamp. Problemet er at CPR-nummeret sammenkæder mange andre informationer. Ikke bare mail og telefonnummer som i dette tilfælde, men også følsomme sundhedsoplysninger, som dem der var på de to ukrypterede CD’er,« siger han og tilføjer:

»Det enkelte læk kan virke uskyldigt i sig selv, men via CPR-nummeret kan du kæde oplysningerne sammen til noget meget mere alvorligt.«

Læs også: Skat udskyder moms-deadline efter omfattende it-problemer: TastSelv Erhverv og Motorregisteret ramt

CD’erne med sundhedsdata på over fem millioner danskere var på vej til forskningsprojekt under Danmarks Statistik, da et postbud i stedet afleverede brevet til et kinesisk firma på Østerbro.

Danmarks Statistik oplyser til Version2, at man rutinemæssigt modtager oplysninger med CPR-numre fra styrelser og kommuner, men at alle numre internt udskiftes med anonymiserede løbenumre, så de enkelte medarbejdere ikke har fri adgang til CPR-numre.

Version2 har bedt Skat om at forklare, hvorfor TastSelv-systemet er indrettet, som det er. Skat har ikke kunne nå at kommentere sagen før redaktionens afslutning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Ifølge den nye EU forordning vil en privat virksomhed kunne idømmes en bøde på 4 % af dets årlige omsætning ved lemfældig omgang med oplysninger og data i deres varetægt. I mange tilfælde vil det kunne medføre at firmaet går fallit.
Når en offentlig myndighed gør det samme, er der ingen sanktioner. Det finder jeg tankevækkende og forkasteligt, ikke mindst fordi det beviseligt er de offentlige myndigheder, der har ansvaret for de milliader af oplysninger, der er tvangslagret i deres varetægt, der er de største syndere, jf. Stats- og rigsrevisorernes gentagne rapporter.
Bemærk hvordan både Datatilsynet, Statens Seruminstitut og posten behændigt sniger sig udenom deres ansvar for fadæsen og sikkerhedsbristen med alle vores CPR-numre.

Per Larsen

Hvis man synes det er værd at kommentere på?
Der er ikke så meget IT, der fungerer fuldt efter hensigten, og slet ikke i offentligt regi.
Danmark er et bonde land, og det vil vi være en stund endnu.
Der er ikke flere mennesker i Danmark en der faktuelt bor i Hamborg og omegn, Men vores selvforståelse og naivitet er minimum x 10.

Mvh.

Daniel Korsgaard

Når jeg tropper op ved lægen, skal jeg scanne mit sygesikringsbevis ind, og så er der en stor skærm hvor der står noget i retningen af "Velkommen Daniel Korsgaard". Og det er på trods af en hver form for navne-/addresse beskyttelse.

Og det tager altså ikke mange sekunder at skrive en tilfældig persons CPR på et passende platik kort (magnet stribe), og så lige tage et hurtigt smut forbi, for at få det fulde navn blæst op på en 32" skærm.

Jeg overvejede godt nok at gøre dem opmærksomme på problemet, men jeg har efterhånden givet op i forhold til det offentlige.

Mikael Ibsen

viser desværre "Det offentliges" bundløse mangel på respekt og slet skjulte foragt for borgerne, denne ubehagelige grå masse, som mest er til ulejlighed - lige bortset fra dens penge.

Gad vidst, hvordan den holdning har fået lov at udvikle sig til de farcetilstande, vi de facto har i dag.

Mit førstegæt: Ledelser med berøringsangst, der baserer deres ledelsesstil på de tre bekendre abers princip: Ikke se - Ikke høre - Ikke tale.

Thi hvem er det, som har ansvaret for en organisations adfærd ?

Min førsteantagelse: Ledelsen.

Eller hva' ?

Niels Bjerre

De fleste sårbarheder bliver aldrig opdaget eller udnyttet, og offentliggørelse kan udgøre den største risiko.

Det undskylder ikke SKAT, men det er god kutyme a man ved opdagelsen af en sårbarhed giver synderen en rimelig tidsfrist til at lukke hullet - inden offentliggørelse.

Har Version2 kontaktet SKAT?

Christian Havelund Pedersen

Har du en kilde til at bøden kun gælder private virksomheder? Mig bekendt er det endnu ikke besluttet om bøden også skal kunne gives til offentlige instanser.

Det er uklart om en bøde for det offentlige vil have samme adfærdsvirkning som for det offentlige, hvor det primært vil betyde at pengene flyttes fra én instans til en anden hvor det vil gå ud over ydelser til borgerne. Herudover vil det reelt set betyde at borgerne ud over at betale med personlige oplysninger også skal betale for lovbruddet via skatten.
Én ting er en økonomisk konsekvens ved at bryde loven, noget andet er de forsider det giver i pressen og det tab af omdømme som det vil kunne medføre. Dette vil jeg mener har en større effekt og adfærdsvirkning.

Bent Jensen

Én ting er en økonomisk konsekvens ved at bryde loven, noget andet er de forsider det giver i pressen og det tab af omdømme som det vil kunne medføre. Dette vil jeg mener har en større effekt og adfærdsvirkning.

Fyring, tab af bonus, eller stop for forfremmelse eller direkte degradering vil nok også have en adfærdspåvirkning. Her tænkes der på ledelser og bestyrelser. Hvor sådan sager må betyde at de skal ud, og ikke have andre "ben" i det offentlige.

Martin Hvidberg

Det forekommer at denne gentagne kritik af "Det offentlige" er lidt unuanceret... Det er på linje med "Det er systemets skyld", "De fremmede kommer" eller "Internettet er fyldt med farer". Det ville virke mindre refleksbetonen hvis man kunne målrette sine anklager lidt mere præcist.

John Foley

Hej Christian Havelund Pedersen

I forordningen står der, at det er medlemslandende selv, der skal afgøre hvilke konsekvenser og sanktioner en overtrædelse skal medføre for offentlige myndigheder.
Så vidt så godt. I Danmark har man nedsat en arbejdsgruppe, der skal komme med forslag til hvilke sanktioner, der skal gælde overfor offentlige myndigheder og instanser. Derfor er der endnu ingen der ved hvad dette arbejde vil medføre. Men fyringer, personlige bøder, tab af bonus, degradering og karrierestop kommer næppe på tale.
Bemærk, hvordan både Datatilsynet, Statens Seruminstitut og posten m.fl. behændigt sniger sig udenom deres ansvar for fadæsen og sikkerhedsbristen med alle vores CPR-numre. Nævnte eksempel er blot et af utallige sager, hvor det offentlige gang på gang svigter og ikke lever op til det ansvar de har i forbindelse med opbevaring af oplysninger og data om os alle.

Bent Jensen

Ligesom dig har jeg svært ved at se det smart i at give bøder til offentlige institutioner. Det vil koster mange penge i administration at flytte pengene rundt mellem offentlige pengekasser og vil i sidste ende blot betyde færre penge til offentlige services.


Ja, synd at lobbyister fra firma og stat, fik fjernet fængselsstraf fra loven.

For aktieejere og myndigheds bruger er bøder træls. Mod de ansvarlige ansatte eller leder/bestyrelse er fængselsstraf eneste sikker virkemiddel.

Som når Olieselskabet BP, som det eneste selskab spare en automastik nødventiler. Det ledte så til verdens største oliekatastrofe, sammen med 11 døde.. Hvis det var gået godt, som det normalt gør, sammen med andre besparelser på sikkerhed, så havde det givet et højere udbytte og aktiekurs, med dividende til bestyrelse og ledelse.
Den eneste reelle tab den bestyrelse fik ?
Hvis der havde luret en fængselsstraf eller dom for manddrab ved grov overtrædelse af god skik og sikkerhedsregler, så kunne det være at det også var tænkt på dette.
Men nu betaler selskabet og aktionærerne for dette, helt ok som medskyldige, mens de rigtige skyldige bare mister bonus, og nok ikke kommer på tale som årets medarbejder.

https://ing.dk/artikel/olieselskab-oedelagde-beviser-om-udslip-i-den-mex...

Thomas Toft

Når jeg tropper op ved lægen, skal jeg scanne mit sygesikringsbevis ind, og så er der en stor skærm hvor der står noget i retningen af "Velkommen Daniel Korsgaard". Og det er på trods af en hver form for navne-/addresse beskyttelse.

Jeg kender ikke noget til hvilken form for adgang læger har, men jeg kan ikke få en recept når min egen læge har ferie-lukket ved kun at opgive CPR til en anden læge, da andre læger ikke kan se noget som helst om mig på mit CPR. Den eneste "beskyttelse" jeg har er ganske almindelig navnebeskyttelse oprettet på borger.dk.

Louise Klint

jeg kan ikke få en recept når min egen læge har ferie-lukket ved kun at opgive CPR til en anden læge, da andre læger ikke kan se noget som helst om mig på mit CPR.


Nej, det er rigtigt at andre læger ikke kan se noget om dig på dit CPR – altså din personlige journal, du har hos din egen læge. Den kan andre læger ikke se i.
Til gengæld kan Staten!

Der er vedtaget en ny lov (L 184) her før sommerferien, som betyder at alle privatpraktiserende læger (=egen læge) skal indberette data om deres patienter til Sundhedsdatastyrelsen.
Dvs. de oplysninger du kunne dele i fortrolighed med din læge – og som ikke engang andre læger kunne se – går nu direkte videre til myndighederne.

Dine private og personfølsomme oplysninger ligger nu centralt i myndighedernes varetægt. Hos Sundhedsdatastyrelsen, der råder over et antal omfattende registre:
http://sundhedsdatastyrelsen.dk/da/registre-og-services/om-de-nationale-...

Man kunne måske få lyst til at spørge – er det klogt?
Er det klogt at en stat indsamler og opbevarer et så omfattende katalog af helbredsoplysninger om dets borgere? Det er alle danskere, og det er specifikt. Det er dit navn, adresse, dit CPR, diagnoser, medicinforbrug, indlæggelser, osv. på din person. Men frem for alt – er det noget du bryder dig om? (De skal jo hverken hjælpe dig med behandling, med recepter, eller på anden vis).
Problemet er at borgeren blev ikke spurgt. Du bliver ikke spurgt.

John Foley

Ja, og myndighederne er beviseligt de værste, når det kommer til at passe på de milliarder af tvangslagrede oplysninger og data om os alle i deres varetægt. Og husk på at det ikke alene er Sundhedsdatastyrelsen, der ligger inde med oplysninger. Alle sektorer i det offentlige har ligeledes personfølsomme og stærkt personlige oplysninger og tvangslagrede data om os alle sammen. Og i henhold til talrige rapporter og afsløringer fra bla. Stats- og rigsrevisorerne, er de offentlige myndigheder og instanser de største syndere, når det kommer til beskyttelse befolkningen mod misbrug. Datatilsynet har spillet fallit og SSI og Postmand Per melder hus forbi, når de bliver afsløret.

Mads Bendixen

Ja, og myndighederne er beviseligt de værste, når det kommer til at passe på de milliarder af tvangslagrede oplysninger og data om os alle i deres varetægt.


De beviser vil jeg gerne se.
Min bud er at der ikke er nogen synderlig stor forskel. Forskellen ligger i at sager i myndigheder når offentligheden/pressen. De færreste private virksomheder melder ud når de har spredt data til uvedkommende.

Se f.eks. sagen om troværdige Trustpilot der ville betale en ex-medarbejder og kun gik til Politiet fordi de ikke kunne blive enige om prisen:
http://www.bt.dk/krimi/fyret-fra-trustpilot-anholdt-for-afpresning-af-fi...

Læg især mærke til det avancerede "hack" han var nødt til at lave, når de ansatte brugte samme password.

John Foley

Beviserne kan du læse i Stats- og rigsrevisornes gentagne rapporter om de offentlige myndigheders svigt og mangelfulde påpasselighed. Et af mange eksempler er bla. Justitsministeriets kompromittering af kriminalregistret (CSC-sagen) m.m og senest SSI skandalen med de 5 millioner CPR-numre og personfølsomme oplysninger. Læs rapporterne på Stats- og rigsrevisorernes hjemmeside.

Mads Bendixen

Beviserne kan du læse i Stats- og rigsrevisornes gentagne rapporter om de offentlige myndigheders svigt og mangelfulde påpasselighed.


Hvor finder jeg de tilsvarende rapporter om private virksomheders svigt og mangelfulde påpasselighed? - Gerne udfærdiget af selvsamme revisorer.
Jeg er helt med på det ikke ser skide godt ud for myndighederne. Men jeg tror ikke på hele forherligelsen af det private.

John Foley

Mig bekendt er der ikke udarbejdet rapporter, som du efterspørger, men hvis jeg læser dine bemærkninger korrekt, så er du overbevist om at de private virksomheder er lige så dårlige til at passe på oplysninger og data om os alle, i deres varetægt, som de offentlige.
Det er derfor dig der må skaffe bevisbyrden for din påstand og ikke mig. Jeg har påstået og bevist, at de offentlige instanser ikke passer godt nok på oplysninger og data i deres varetægt. Du mener at de private er lige så slemme. Så det må du kunne bevise. Det er ikke mig der har den bevisbyrden, det har du, med dine påstande om de private. Og jeg har på ingen måde forherliget af de private. Der er sikkert også brådne kar der, men det kan du jo fortælle om og bevise.

John Foley

Mig bekendt er desværre ikke officielle rapporter, der sammenligner de offentlige og privates mangelfulde påpasselighed. Der findes kun officielle rapporter om det offentliges svigt. Da vi ikke har eller får oplysninger om de privates svigt og syndere, må det antages, at de er langt færre end de offentliges, ellers ville vi nok høre om det fra pressen og andre kilder. Men du har jo en antagelse om at de private er lige så store syndere, som det offentlige, så den viden må du jo have et eller andet sted fra. Så kom frit frem.

Mads Bendixen

Den er udelukkende baseret på mine erfaringer som konsulent, blandet med sund fornuft. Bliver alle folk pludseligt inkompetete og mister alle evner når de bliver ansat i det offentlige?

Du snakkede om beviser, men du har kun bevist det står slemt til i hos den ene part. Ikke om det står bedre eller værre til hos den anden, selvom du har kåret en "vinder". Du mangler sammenligningsgrundlaget.

John Foley

Jeg tror desværre ikke vi kommer videre. Stod det så slemt til hos de private som hos det offentlige ville pressen og diverse medier have omtalt det. De har forbindelser til kilder og indsiders m.fl. Der har været afsløret en del eksempler, hvor private virksomheer har svigtet, men slet ikke i samme omfang som i det offentlige.
Du spørger retorisk om "alle folk pludselig bliver inkompetente og mister alle evner når de bliver ansat i det offentlige". Det tror jeg er en overdrivelse, men de mange og gentagne fadæser og læk, der er dokumenteret kunne tyde på at der er et eller andet, der ikke fungerer, som det burde. Det seneste eksempel med CPR-numrene, tyder på at der ikke er sund fornuft ved hverken Datatilsynet, SSI eller Posten.

Chris Juneau

"Bliver alle folk pludseligt inkompetete og mister alle evner når de bliver ansat i det offentlige"

Tjaa

Det her citat rammer forklarer meget godt hvad der sker for mange dygtige mennesker der ender i det offentlige.. Pludselig "glemmer de"

"It is difficult to get a man to understand something, when his salary depends upon his not understanding it"

torben ibsen

I private virksomheder er der mulighed for at gøre et personligt ansvar gældende for direktion og bestyrelse, hvis der er noget rigtig galt. Men i det offentlige er det altid bare "systemet" eller "styrelsen" eller noget andet anonymt, der laver disse fejl. Ansvarsfrit. - Der skal gøres et personligt ansvar gældende overfor både de konkrete medarbejdere og hele vejen op til bestyrelsen, når der sker disse tåbelige og uansvarlige IT sikkerhedsbrud. Hvis ikke både medarbejderne og lederne ovenover gøres ansvarlige, vil det her fortsætte til evig tid.

Simon Mikkelsen

I private virksomheder er der mulighed for at gøre et personligt ansvar gældende for direktion og bestyrelse, hvis der er noget rigtig galt. Men i det offentlige er det altid bare "systemet" eller "styrelsen" eller noget andet anonymt, der laver disse fejl. Ansvarsfrit. - Der skal gøres et personligt ansvar gældende overfor både de konkrete medarbejdere og hele vejen op til bestyrelsen

Skal vi nu have den igen.

Kilden til disse fejl er som regel at folk ikke har kunnet få den nødvendige uddannelse, tid eller andre ressourcer til at gøre tingene ordentligt. I så fald bør straffen ikke havne hos medarbejderen på gulvet, men hos de chefer som bevidst har prioriteret forkert og ofte fået større bonus ud af det.

Folk nede på gulvet ønsker som regel at gøre det bedst mulige, men får som regel ikke muligheden.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder