CPR-numre ligger frit tilgængelige på nettet

16 kommentarer.  Hop til debatten
CPR-numre ligger frit tilgængelige på nettet
Illustration: Region Hovedstaden.
Hvis man er ferm med Googles søgemaskine, kan man lynhurtigt opsnappe CPR-numre fra mange offentlige myndigheders hjemmesider.
21. august 2013 kl. 10:38
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Offentlige myndigheder og private virksomheder bryder persondataloven i stor stil. Det viser en række stikprøver foretaget af analysefirmaet Kaas & Mulvad. Tommy Kaas og Niels Mulvad, der driver firmaet, har blandt andet fundet CPR-numre på hjemmesider, der tilhører Folketinget, og på Naturstyrelsens hjemmeside lå der sagsakter, CPR-numre og en kandidatafhandling med forfatternes personlige oplysninger. Alt sammen fundet hurtigt via Googles søgemaskine og alt sammen i strid med persondataloven.

»Vi vil stramme kraftigt op. Indtil nu har vi ikke set det som et problem. Vi har haft reglerne skrevet ind i vores kursusmateriale og i retningslinjerne til vores webredaktører. Men det har ikke været godt nok. Hvad vi vil gøre fremadrettet, er for tidligt at sige, men vi anser det her for meget kritisk,« siger Pelle Vedel Krogh, der er webchef i Naturstyrelsen, til Kaas & Mulvad.

På deres hjemmeside viser Kaas & Mulvad, hvordan man med korte, men præcise Google-søgninger kan finde frem til de personfølsomme oplysninger.

Efter en henvendelse fra Kaas & Mulvad har Datatilsynet sat fire sagsbehandlere til at kontakte de myndigheder og personer, der har lagt CPR-numre online, så de kan blive fjernet hurtigst muligt, ligesom Folketinget har fjernet flere udvalgsbilag fra nettet.

16 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
14
21. august 2013 kl. 17:01

Problemet er ikke at CPR numre ligger frit tilgængeligt. De har aldrig været hemmelige. Vi giver dem konstant væk til alle og enhver der spørger.

Problemet er at de bruge ssom identifikation, og at man kan få lån, hæve penge, og så videre, ved bare at bruge CPR nummeret.

15
21. august 2013 kl. 22:03

@Jens Loggo - Jeg vil nu mener, at CPR nummeret ER en identifikation. Når en person angiver sit CPR nummer er det en PÅSTAND om, at man er en bestemt identitet. Det er som bekendt ikke helt det samme som man RENT FAKTISK er vedkommende.

Problemet er IKKE, at CPR nummeret benyttes som identifikation, men at nogle sidestiller kendskabet til CPR nummeret med autentifikation.

16
22. august 2013 kl. 09:49

Det er jo hele pointen. Kendskab til et CPR-nr = du ved hvem personen er. Kendskab til et CPR-nr != du er personen.

Det er tilsyneladende ikke så åbenlyst. Der er masser af "systemer" der benytter CPR som både identifikation og nøgle.

Det bør fremgå af loven at det ikke er ok. Måske endda ulovligt under strafansvar. Det må kunne laves som en tilføjelse til den eksisterende lov.

https://www.retsinformation.dk/forms/r0710.aspx?id=144955

Ved gennemskimning finder jeg kun §53, der antyder at man kan bruge sit CPR-nr til at identificere sig med. Men der bør eksplicit stå at kendskab til et givent CPR-nr ikke kan bruges som legitimation under nogen som helst omstændigheder. Hverken hos myndigheder eller private.

9
21. august 2013 kl. 14:32

Hvis en IT-studerende skal politanmeldes for offentliggørelse af et par cpr-numre hvorfor slipper diverse styrelser så med en opringning fra Datatilsynet?

7
21. august 2013 kl. 12:30

Uanset hvad, er der for mange, der kender dem også selvom, de ikke var "lækket" af nogen.

Et Cpr-nummmer er en reference til en identitet ikke en identifikator.

Dem, der bruger cpr-numre som identifikation er idioter.

12
21. august 2013 kl. 15:49

Det er lidt noget; meeen - det ene udelukker ikke det andet ;-)

3
21. august 2013 kl. 11:41

Undskyld, er det ikke ligegyldigt? Det blev konstateret for et par måneder siden, at de fleste danske cpr-numre var blevet kopieret fra politiets server, så de må vel formodes at ligge på piratebay på nuværende tidspunkt.

Men det er åbenbart svært at forstå, at cpr.numre ikke længere kan betragtes som værende hemmelige...

6
21. august 2013 kl. 11:56

Så længe banker og læger/sundhedspersonale udleverer penge/sundhedsoplysninger direkte på baggrund af CPR-nummer, så ER det personfølsomt.

Hvorvidt det bør være sådan, er en anden diskussion.

4
21. august 2013 kl. 11:50

Undskyld, er det ikke ligegyldigt? Det blev konstateret for et par måneder siden, at de fleste danske cpr-numre var blevet kopieret fra politiets server, så de må vel formodes at ligge på piratebay på nuværende tidspunkt.</p>
<p>Men det er åbenbart svært at forstå, at cpr.numre ikke længere kan betragtes som værende hemmelige...

Du misforstår problemet: Alle her VED at CPR numre ikke længere er hemmelige men så længe LOVGIVNINGEN ikke ændres så er problemerne i allerhøjste grad kritiske. Det er de TUMPER på Chr. Borg som SKAL lave lovgivningen om så den passer med virkeligheden i stedet for at ignorere problemerne.

2
21. august 2013 kl. 11:09

"Fint, så er du ansat som Webredaktør... "

Man skulle næsten tro det er sådan man ansætter dem. Men jeg gætter på at det skyldes manglende kompetence hos ledelsen som skal finde folk. De aner ikke hvad man skal stille af krav og derfor hyre man bare i blinde uden at vide hvad man skal spørge en ansøger om. F.eks. basal forståelse af persondataloven, sikkerhed osv.

5
21. august 2013 kl. 11:53

F.eks. basal forståelse af persondataloven, sikkerhed osv.

Det er ganske indlysende at dette ikke findes ret mange steder. Nu peges der på Webredaktører, men hvor mange udviklere/konsulenter påpeger at der ikke må registreres personfølsomme oplysninger som feks. CPR.numre, hvis det ikke er nødvendigt ?