Cpr-numre flyder (stadig) på nettet - og hvad så?

22 kommentarer.  Hop til debatten
Nettet nærmest bugner af cpr-numre. Spørgsmålet er, om det er et problem.
Reportage12. september 2017 kl. 05:11
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er på det nærmeste ikke til at sparke sig vej frem for mængden af personnumre, som danske hjemmesider eksponerer overfor Google og internetbrugere generelt.

Det fremgår af test-søgninger, som Version2 har gennemført, og af flere læserhenvendelser, vi har modtaget om cpr-læk, i løbet af den seneste uges tid.

Det umiddelbart grelleste eksempel, som flere læsere gjort os opmærksomme på, kommer fra en hjemmeside for, hvad der ligner en mindre webudviklingsvirksomhed. Via virksomhedens domæne ser mere end tusind cpr-numre ud til at være blevet lækkede.

Oplysningerne var, da vi undersøgte sagen, ikke længere tilgængelige på den oprindelige webserver, men cpr-numrene lå stadig og blomstrede i Googles cache.

Artiklen fortsætter efter annoncen

Det er ikke lykkedes os at komme i kontakt med den ansvarlige, men numrene ser nu ud til at være væk fra Google også.

Cpr og misbrug

Der er delte meninger om, i hvor høj grad kendskab til et cpr-nummer i dag kan misbruges af kriminelle.

Det er antageligt sværere at misbruge kendskabet til andres cpr-numre i 2017, end det var for 10 år siden, al den stund at der kommet et øget fokus på, at nummeret ikke i sig selv kan bruges til autentifikation. Altså til at bekræfte identiteten på en person i forbindelse med eksempelvis udstedelse af et betalingskort.

Sådan noget som identitetstyveri vil dog alt andet lige nok være lettere, jo flere personoplysninger - herunder et cpr-nummeret - en angriber kan få kendskab til.

I forhold til identitetstyveri oplyser Det Kriminalpræventive Råd, at »det er imidlertid svært at misbruge CPR-oplysninger til at købe varer eller oprette lån på nettet. Men hvis man mister eller får stjålet sin pung med identitetspapirer som f.eks. kørekort og sygesikringsbevis, kan de misbruges til at foretage kreditkøb i butikker«.

En nøgle
Chef for CPR-kontoret under økonomi- og indenrigsministeriet Carsten Grage har tidligere fortalt til Version2, at cpr-nummeret skal betragtes som en nøgle, der kan bruges til at identificere personer med.

»Det er i hele samfundet, så derfor er det virkeligt at gøre sig selv en bjørnetjeneste, hvis man betragter personnummeret som noget helt unikt, der skal beskyttes, som var det en pinkode eller lignende. Det vil også være med til skabe et billede af, at personnummeret kan bruges til at autentificere en person. Det kan man ikke, og det må man ikke kunne,« sagde Carsten Grage i en Version2-artikel i 2014.

I samme artikel kalder Carsten Grage det for en skrøne, at »bare fordi man opfanger en andens personnummer, så kan man eksempelvis lige gå ind i en bank og hæve penge«.

En særlig beskyttelse
Selvom uvedkommendes kendskab til et cpr-nummer i sig selv nok ikke medfører den store ulykke i dag, så nyder nummeret ikke desto mindre en særlig beskyttelse i Persondataloven.

Det forklarede tidligere kontorchef i Datatilsynet Lena Andersen i artiklen fra 2014. Af paragraf 11 i loven fremgår det således, at nummeret ikke må offentliggøres uden udtrykkeligt samtykke.

Endvidere er der paragraf 41, som stiller krav til dataansvarlige og databehandlere om at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab.

»Generelt kan man sige, at hvis nogen bevidst offentliggør cpr-numre, så er det paragraf 11, vi kigger på. Hvis en kommune eller en virksomhed som følge af fejl og utilstrækkelig sikkerhed kommer til at offentliggøre cpr-numre, så er det paragraf 41,« forklarede Lena Andersen til Version2 tilbage i 2014.

Kilder: Version2, Det Kriminalpræventive Råd, Persondataloven


I forlængelse af ovenstående søgte vi lidt på nettet og opdagede, at DR også var kommet til at eksponere persondata - her var det cpr-numre for flere musikere.

Det er der blandt andet kommet en artikel ud af, hvor DR fortæller om at fjerne personoplysningerne fra Googles cache. Vores research viser, at flere måske kunne få glæde af at læse denne artikel.

Takket være læserhenvendelser er vi også blevet opmærksomme på, at hjemmesiden for Studenterforeningen for danske dyrlægestuderende (VeterinærMedicinsk Forening) er kommet til at eksponere et regneark med i nærheden af tusind cpr-numre.

»Den omtalte liste har ligget på et lukket forum, som ikke er offentligt tilgængeligt og ikke har været i brug siden 2013. Desværre har det ved en fejl været muligt at søge sig frem til filen, hvilket vi blev gjort opmærksom på den anden dag af en tidligere dyrlægestuderende. Denne fejl er dybt beklagelig, men fejlen er rettet, og den omtalte liste ligger ikke længere offentligt tilgængeligt,« fortæller formand for VeterinærMedicinsk Forening Ane Laursen Dahlkilde til Version2 i en mail.

Fødselsdagssøgninger

Når denne artikel bliver indledt med påstanden om, at det ikke skulle være til at sparke sig vej frem for cpr-numre på nettet, så det naturligvis en noget subjektiv betragtning, som dog bunder i mere end de foreløbigt nævnte eksempler.

Artiklen fortsætter efter annoncen

På redaktionen har vi under researchen søgt på vores egne fødselsdage efterfulgt af en bindestreg. Altså en søgning på noget i retning af '123456-'.

Første søgning på Google returnerede et cpr-nummer på en anden person med samme fødselsdag som den, der var angivet i søgningen.

Det - i sammenhængen - succesfulde resultat inspirerede en anden kollega til også at prøve en søgning på vedkommendes fødselsdag efterfulgt af en bindestreg. Og igen dukkede der et cpr-nummer på en person med samme fødselsdag.

Et af de cpr-numre, der dukkede op i forbindelse med fødselsdagssøgningerne, stammer fra opgavebank.dk

Her kan studerende selv lægge eksamensopgaver op til brug som kildemateriale i andre opgaver. På nogle af opgaverne på sitet har der været cpr-numre, som er blevet indekseret af Google.

»Sitet er et nonprofit-initiativ og har ingen indtægtskilder, hvorfor vi ikke har haft ressourcer til at gennemse de opgaver, der uploades,« fortæller kontaktperson på sitet Thomas Wedell-Wedellsborg via mail.

Hjemmesiden er nu pillet ned, mens opgaverne med synlige cpr-oplysninger bliver fjernet.

Datatilsynet kan godt genkende det

Det er altså ikke just vanskeligt at grave cpr-numre frem på internettet. En formodning, som kontorchef hos Datatilsynet Jesper Husmer Vang umiddelbart deler.

»Jeg kan sagtens nikke genkende til det. Vi ser jo løbende sager,« siger han

Lige hvad de kommunale hjemmesider angår, så skulle der dog være færre cpr-læk, end det tidligere har været tilfældet. Det skyldes ifølge Jesper Husmer Vang, at kommunerne er blevet bedre til at scanne deres hjemmesider for, om der skulle ligge cpr-oplysninger.

Men bortset fra de kommunale hjemmesider, der altså skulle være blevet bedre til ikke at lække borgernes oplysninger, så står det altså umiddelbart stadig sløjt til med cpr-numre på nettet.

»Jeg kan godt genkende det, du siger med eksamensopgaver og sådan nogle ting. Universiteterne har excelleret i det her ad flere omgange. Vi ser løbende sager, og hvis jeg satte mig ned nu og søgte, så ville jeg også kunne finde de første tre sager.«

Men er det et problem?

Det er - jævnfør Persondataloven - ikke tilladt at offentliggøre cpr-numre uden samtykke. Tilbage står spørgsmålet dog om, i hvor høj grad cpr-numre i dag overhovedet kan misbruges af kriminelle til identitetstyveri, tømning af bankkonti og den slags.

En antagelse i den sammenhæng kunne være, at der blandt andet takket være det mediemæssige fokus på området gennem de seneste 10 år er kommet en generelt bredere forståelse for, at et cpr-nummer alene kan bruges til identifikation og ikke til autentifikation - altså til at bekræfte, at en person er den, han eller hun giver sig ud for at være.

Selvom konkrete sager med misbrug, der involverer cpr-oplysninger, i udgangspunktet er et strafferetligt anliggende og altså ikke noget, Datatilsynet direkte har noget med at gøre, så hører tilsynet stadig om den slags sager fra tid til anden, forklarer Jesper Husmer Vang

»Det kan godt være, problemet er mindre, men det er der nok stadig i et eller andet omfang,« siger han.

Hos Rådet for Digital Sikkerhed er formand Henning Mortensen rimelig sikker på, at problemer i forhold til cpr-misbrug er mindre i 2017, end de var i 2007.

»Det er også klart min opfattelse. Jeg tror ikke, man kan bruge det til lige så meget, som man har kunnet, men det afhænger af de evner, man har,« siger han.

»En teoretisk frygt«

Henning Mortensen føler sig dog også ganske overbevist om, at hvis en angriber går målrettet efter at kompromittere en person, så vil cpr-nummeret kunne bruges.

»Du kan formodentlig stadig godt gøre en del ting med et cpr-nummer, men jeg har ikke konkrete eksempler.«

Et muligt konkret misbrugsscenarie i privacy-genren kunne eksempelvis være at ringe til lægen, og via et cpr-nummer aflyse eller oprette en tid på vegne af en anden person.

»Det er jeg helt sikker på, du kan,« siger Henning Mortensen, der også gætter på, det vil være muligt at ringe til Skat og få ændret en andens oplysninger alene ved at opgive et cpr-nummer.

Til gengæld føler Henning Mortensen sig også sikker på, at det ikke ville være muligt at rydde en dansk bankkonto via banken alene med cpr-nummeret.

I forhold til, hvor alvorligt det er, hvis kriminelle får fingrene i et cpr-nummer her i 2017, så har Henning Mortensen som sådan ikke et endegyldigt svar.

»Jeg har jo ikke prøvet. Den frygt, jeg har, er jo en teoretisk frygt. For det første har jeg ikke været udsat for det selv, og for det andet så har jeg ikke selv siddet og prøvet at stjæle identiteter. Jeg ved ikke, hvor langt man er i stand til at gå.«

Men hvad tænker Version2's læsere? Ud over det lovmæssige er det så et reelt problem, at danske personnumre ligger frit tilgængelige på nettet?

22 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
22
13. september 2017 kl. 20:30

Selvom CPR-numre ikke bliver betragtet som følsomme personoplysninger af Datatilsynet, og ikke bør kunne bruges til andet end at slå op i et it-system med, så er det forbudt at offentliggøre den.</p>
<p><a href="https://www.version2.dk/artikel/cpr-nummeret-er-ikke-en-foelsom-persono…;
<p>

Er det i bund og grund ikke fordi man, for at gør det lettere for opslag i forskellige systemer, har valgt at benytte noget som betragtes som unik. Selv om CPR reelt ikke må betragtes som den unikke nøgle i et register, men skal kombineres med andre nøgler. Det er klart en forkert holdning, at man blot kan identificere sig ved at give et nummere, unden at kunne give andre personlige detaljer, som til sammen giver en meget mere unik nøgle

21
13. september 2017 kl. 00:26

Persondataforordningens krav om "Data Protection by Design and by Default" og "Security of Processing" vil på sigt føre til at CPR-nummeret må afvikles. Det skyldes at krav til f.eks. pseudonymiseret databehandling, confidentialitet og integritet er kædet op på den teknologiske udvikling, der løbende billiggør effektiv databeskyttelse.

Allerede i dag er det god praksis at benytte formåls- eller parts-specifikke ID'er, der kun kan sammenkædes af brugeren selv - eller i visse tilfælde af andre via lovhjemmel. Så CPR-nummeret er allerede nu en teknisk anakronisme. Efterhånden som der udvikles "Codes of Conduct" og Certificeringsmekanismer til GDPR vil det blive helt umuligt at forsvare den fortsatte brug af et fælles og beskrivende ID på tværs af diverse sektorer og anvendelser.

Så det er lige så godt at komme i gang med en gradvis afvikling af CPR-nummeret allerede nu.

19
12. september 2017 kl. 21:51

Jeg kan komme på ét realistisk scenarie: Hvis du får medicin, der kan misbruges (ritalin eller morfinpræperater fx), er det et problem, hvis en anden finder ud af det, gætter dit cpr, går på apoteket og får medicinen udleveret. Man kan godt få udleveret "sin ægtefælles" medicin uden at have deres sygesikringskort.

18
12. september 2017 kl. 20:48

Hvilken ?

jf. Wikipedia (jeg gider ikke lave en dybere kontrol) har:

  • Australien har ikke noget og der er specifik forbud mod brug af skatte-id som generel ID
  • Canada har afsluttet brugen af deres SIN i 2004 (som generel ID)
  • England har ikke noget generel ID
  • Portugal har forbud mod generel ID
  • Tyskland har forbud mod at registrere folk under et id

...og Japan har først lige valgt at indføre et i 2016.

Mange lande har simple løbenumre som ikke afslører noget om personen og så er der alle de lande som i sin tid faldt i samme fælde som Danmark og tænkte "Gud det ville være smart hvis nummeret fortæller noget om personen".

15
12. september 2017 kl. 12:44

Fordelen ved det nuværende cpr-nummer er, at det er et stabilt og globalt ID, som gør det nemt at sammenkøre oplysninger eller finde ud af, om det er den samme person, man har registreringer om.

Ulempen ved det nuværende cpr-nummer er, at det er et stabilt og globalt ID, som gør det nemt at sammenkøre oplysninger eller finde ud af, om det er den samme person, man har registreringer om.

14
12. september 2017 kl. 12:35

Ja Okay

  • Jeg er da enig af numrene burde være tilfældig på en eller anden måde.
  • Naturligvis bør relationen mellem nummer og fulde navn ikke være offentlig tilgængelig som det er med CVR nummer systemet.

Den sidste begrundelse giver da også lidt sig selv for det ville da være tåbeligt hvis svindel organisationer så som de der microsoft support fra Indien uden videre kunne hente hele databasen ned, men naturligvis skal lægere og andre relevante stadigvæk have samme adgang som de altid har haft.

Det er ind i mellem lidt svært at gennemtænke alle aspekterne af de ting man skriver om i en kommentar.

13
12. september 2017 kl. 11:47

Bare en hurtig tanke:

Hvis cpr er med tilfældige numrer, hvad hindrer så at en systematisk dataopsamling kan vise fødselsdag ?

11
12. september 2017 kl. 11:37

Eneste løsning er vel at sidestille CPR numre med for eksempel CVR numre som rent faktisk er offentlig tilgængelig.

Principielt enig, for mig er et CPR nummer grundlæggende også bare et ligegyldigt database ID.

Problemstillingen, som flere andre har påpeget, er bare at et CVR nummer netop bare er et totalt tilfældigt fortløbende nummer, mens CPR nummeret indeholder personfølsomme oplysninger. Derfor bør CPR nummeret som det første laves om et til tilfældigt (heller ikke fortløbende) nummer, DEREFTER kan de "frigives".

12
12. september 2017 kl. 11:37

Hvordan løser det, at det ikke gøres let at systematisere indsamling af oplysninger om privatliv. Eventuelt data fra datalæk, men også bare noget som folk lokkes/presses til at aflevere. Problemet med cpr er jo, at det er en præcis id (og derfor jo ikke kan ændres).

Samtidig har den enkelt jo slet ikke overblik over, hvad der ligger af oplysninger - og om de er korrekte og hvad de bruges til.

CVR er også en identifikation, men af en struktur eller hvad du vil kalde det, som kan slukkes eller ændres. CPR er et menneske som måske ikke vil huskes for alting i alle sammenhænge. Alle sammenhænge - slet ikke når det skal bruges til at udnytte dem.

10
12. september 2017 kl. 10:54

Eneste løsning er vel at sidestille CPR numre med for eksempel CVR numre som rent faktisk er offentlig tilgængelig.

9
12. september 2017 kl. 10:48

Der bør lovgives, at CPR-nummeret 1. er frit tilgængeligt og 2. ikke må bruges til andet end identifikation. Accepterer nogen fx en låneaftale alene baseret på navn, adresse og CPR-nummer, vil den automatisk være ugyldig uden yderligere diskussion.

Jeg mener nu at CPR-nummeret indeholder for mange oplysninger i sig selv til at være "uskadeligt": alder, køn, tildelt ved fødsel eller ved opholdstilladelse (første ciffer i løbenummer) og bør derfor udskiftes med et simpelt løbenummer uden reel information som derfor let kan udskiftes ved behov.

I øvrigt er der civiliserede lande som klarer sig fint uden CPR-nr...

7
12. september 2017 kl. 10:02

Jeg undrede mig selv for et par år siden over, hvorfor en persons CPR-nummer giver adgang til så meget:

"Kan man virkelig på den måde få adgang til alle identitets- og økonomirelaterede aspekter af en persons tilværelse blot ved at kende personens CPR-nummer? Hvis ja, hvorfor er CPR-numre så ikke bedre beskyttet?

De står på forsiden af vores sygesikringsbevis - hvilket en ondsindet person nemt kan opsnappe, når kortet er fremme - og man bliver ofte bedt om det i telefonen, f.eks. hos lægen, og på apoteket og lignende steder. CPR-numre er ikke som eksempelvis pinkoder omgærdet af en naturlig fortrolighed, og det er derfor mærkværdigt, at man med denne relativt nemt tilgængelige information kan få adgang til så meget af en anden persons identitet."

5
12. september 2017 kl. 08:29

Der bør lovgives, at CPR-nummeret 1. er frit tilgængeligt og 2. ikke må bruges til andet end identifikation.

Iom. at nummeret er meningsbærende, så er det ikke så simpelt.

Det vil fortælle fødselsdato for alle, og det er en betydelig hjælp, hvis man vil re-identificere "anonymiserede" data. Der er ingen grund til at hjælpe der.

Men man kan også udfra løbenummer komme med et kvalificeret gæt på om det tilhører en adopteret person (der er ingen klar regel, men de "stod sidst i køen", så de har oftere høje løbenumre).

4
12. september 2017 kl. 08:08

Offentlige personnumrer er nok næppe det store problem for nogen, HVIS man selv får lov at definere området, hvor det skal overvejes.

Men hvis vi nu går lidt ud over de områder, der er defineret i artiklen.

Personligt synes jeg det er et stort problem at andre (f.eks Google) er dem, der styrer hvilke informationer jeg får, jeg frygter når AI algoritmer, som udviklererne ikke engang selv forstår, skal anvendes til at "styre mig" osv. (her taler jeg ikke alene om information, men også IoT hardware). Alt dette gøres meget nemmere hvis de store amerikanske virksomheder har en præcis ID på mig.

Der er sikkert mange andre steder, hvor jeg ikke ønsker at nogen skal vide mere om mig, end jeg selv ved.

Hvorfor skal jeg afgive mit privat liv til store firmaer, for at få lov at deltage i samfundet ? Kan man købe en bærbar uden at afgive en del rettigheder omkring sit privatliv ? Kan man købe en telefon uden at... osv. Kan man deltage på lige fod i samfundet, hvis man ikke har en telefon, pc osv ? Jo, jeg ved godt man kan slippe for en del, hvis man har ekstra penge og er specialist på området.

Så derfor mener jeg kun ID skal oplyses når folk selv vil og det er nødvendigt i den aktuelle situation. Det skal heller ikke være tilladt at kræve oplysninger om privatliv, ved at tage adgang til det sociale liv og samfundet som gidsel.

3
12. september 2017 kl. 07:47

De uklare love, om bl.a. at man ikke må offentliggøre CPR-nummeret, er med til at fastholde en misforståelse af, at folk der kender nummeret har lov til noget som helst.

Der bør lovgives, at CPR-nummeret 1. er frit tilgængeligt og 2. ikke må bruges til andet end identifikation. Accepterer nogen fx en låneaftale alene baseret på navn, adresse og CPR-nummer, vil den automatisk være ugyldig uden yderligere diskussion.

Når det er sagt, så er CPR-nummeret jo en teknisk forholdsvis nem måde at finde ting på, som ikke burde ligge på nettet. Fokus er bare i højre grad på CPR-numre frem for de informationer der følger med dem.

2
12. september 2017 kl. 07:24

Problemet er forståelsen af CPR nummeret som en hemmelighed der kun kendes af den rigtige - ID skal sikres med fx NemID og CPR skal opfattes som en nummerplade, der angiver en person. Dette er egentlig den eneste løsning der er på dette problem.

1
12. september 2017 kl. 07:03

Det er i hvert fald et problem som symptom på, hvor slemt det står til med datasikkerheden. Hvis man kan finde cpr-numre, kan man også finde andet.

Det er sikkert rigtigt, at det er umuligt at sikre data fuldstændigt. Men når sikkerheden bevisligt er så ringe, som den ene historie efter den anden viser (der er jo efterhånden daglige grove historier), så må man gøre det næstbedste: Slå bremserne i, give den digitale data-golddigging fra det offentliges side en lang pause, og i stedt koncentrere sig om at finde effektive, langtidsholdbare sikkerhedsløsninger og grænser om privatlivet.

Man kan ikke tillade sig blot at fortsætte sit eksponentielt voksende tvangsdatatyveri af borgernes privatliv, og da slet ikke når sikkerheden bevisligt er så ringe.