CPR-Søren: Vestager løser slet ikke problemet

Det er slet ikke nok, at Margrethe Vestager stopper nem adgang til CPR-databasen gennem hjemmesider. CPR-numre skal i stedet bruges helt anderledes, siger Søren Louv-Jansen, som er sigtet for at lække politikernes CPR-numre.

Søren Louv-Jansen blev kendt som CPR-Søren, da han lavede et ’CPR-lotteri’ på nettet, hvor man kunne gætte på toppolitikeres CPR-nummer.

Læs også: Dansk hjemmeside har adgang til alle CPR-numre: Her er Thornings CPR-nummer

Økonomi- og indenrigsminister Margrethe Vestager var en af dem, der fik sit CPR-nummer udstillet i den anledning, og Søren Louv-Jansens happening fik i fredags ministeren til at skærpe reglerne, så det fremover ikke bliver muligt at finde en persons CPR-nummer via opslag på for eksempel et teleselskabs webside.

Læs også: Vestager lukker for CPR-validering efter afsløring - teleselskaber protesterer

Men den it-studerende Søren Louv-Jansen er ikke tilfreds med Margrethe Vestagers træk - det er ikke godt nok.

»Hun ser det forkerte problem. Problemet er ikke, at man kan finde et CPR-nummer - problemet er, at det kan misbruges. Så Vestager skulle i stedet fokusere på det, vi hele tiden har sagt, nemlig at CPR-numre ikke er hemmelige og ikke bør kunne bruges til verifikation af en identitet,« siger Søren Louv-Jansen til Version2.

Han har gennem flere år råbt op om, hvor nemt det er at teste de typisk 271 muligheder, der er for at finde et korrekt CPR-nummer, så snart du har navn og fødselsdato på en person. På nogle hjemmesider for teleselskaber og lånetjenester kunne man nemlig afprøve en stribe muligheder, indtil man ramte den rigtige.

Det hul bliver nu lukket af indenrigsministeren, men der er stadig mange andre muligheder, hvis man gerne vil finde en persons CPR-nummer. For eksempel ved at få direkte adgang til selv at slå op i statens CPR-database.

»Jeg har egen virksomhed, så hvis jeg ville betale for det, kunne jeg få fuld adgang til CPR-registret. Staten har en åben ladeport ind til CPR-registret for virksomheder - og det er også fint nok, hvis et CPR-nummer ikke blev betragtet som hemmeligt,« siger Søren Louv-Jansen.

Hans forslag til politikerne er nu, at de for alvor gør op med den vildfarelse, at CPR-nummeret er hemmeligt. Det kunne for eksempel være ved at give offentligheden fuld adgang til registret om et år - så er der tid til at omstille arbejdsgangene.

»Det ville ikke have den store praktiske betydning, for det er jo stadig nemt at finde CPR-numre i dag, men det ville have en stor signalværdi,« vurderer Søren Louv-Jansen.

På den måde ville alle blive tvunget til at overveje, hvordan CPR-numre bliver brugt som ’password’ i dag og lave om på det. Det gælder ikke bare private firmaer, men også offentlige myndigheder, fremhæver den it-studerende.

»Politikerne bliver ved med at fokusere på, at det er private firmaer, som laver fejl, når man har kunnet tjekke CPR-numre på deres websider. Men fejlen ligger mest i det offentlige system, hvor man kan ringe ind og oplyse en andens CPR-nummer og få alt muligt at vide om den person,« siger Søren Louv-Jansen.

Hans happening med CPR-lotteriet om politikerne gav ham i øvrigt en sigtelse for at offentlige CPR-numre. Den sag er ikke kommet videre i retssystemet endnu, men han har holdt møde med sin advokat og politiet. Her nævnte politiet faktisk endnu en potentiel tiltale mod ham - nemlig for at have lagt et billede på Twitter af de to civile politibetjente, han fik besøg af, da Datatilsynet politianmeldte ham.

»Det synes jeg er sindssygt plat. De så godt, jeg tog billedet, men de forventede ikke, at det ville komme online. De må da vide, at vi lever i en tid, hvor den slags kommer på nettet,« siger Søren Louv-Jansen.

Læs også: It-studerende sigtet for at offentliggøre Thornings CPR-nummer

Læs også: It-studerende risikerer bøde på 25.000 kroner for CPR-happening

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Allan S. Hansen

Bortset fra en stor del af den generelle befolkning blot hører om 'hacking' af registeret og synes det er forfærdeligt men ikke forstår/har indsigt i den grundlæggende problemstilling ..... og så de folkevalgte.

Okay - kan godt være politikerne også ved det; Men der er uvilje mod at tage handling.

Og hvis jeg skulle spekulerer, og det skal man jo, så ville jeg gætte på der er en berøringsangst netop fordi en stor del af den generelle befolkning ikke kender til de grundlæggende problemer med CPR. Identitetstyveri har været kendt i mange år, men altid begrænset og lidt besværligt. Man skal jo have smidt regninger ud med sit CPR nummer på som nogle samler op
Men i dagens digitale verden, så kan det gå meget stærkt, meget hurtigt.

Og så kan det hurtigt tænkes at hvis politikerne rent faktisk ville indførelsen af andre systemer straks fører til "overvågnings" tanker og "spildte skattekroner".

Det at de 'mainstream' medier ikke har større fokus på hele denne CPR situation synes jeg er det største problem på kort sigt. Det tillader nemlig a) politikerne at være ligeglade og b) den generelle befolkning uoplyst.

What we don't know, won't hurt us.

Ole Wolf

I samme øjeblik, informationerne er blevet stjålet, og man ikke har fået dem tilbage med total garanti for, at de ikke er blevet kopieret, så er der kun én måde at opfatte dem på, hvis man skal tænke sikkerhed: Hemmeligheden er brudt. Informationerne er tilgængeliggjort for potentielle misbrugere.

Mit indtryk er dog, at Margrethe Vestagers indgangsvinkel er at sikre, at CPR-numrene ikke benyttes til autentifikation. Det er i så fald en vigtig ændring.

Ib Erik Söderblom

Så hårdt kan det ridses op !
Bevares, der hænger nok meget på hendes embedsmandsbagland, som heller ikke fatter en meter.
Det er myndigheders og private firmaers stupide tro på, at cpr-nummeret er den sikreste identifikation af en person og at man, såfremt man oplyser et cpr-nummer, kan gennemtvinge alskens ændringer for den stakkel, hvis cpr-nummer det reelt er.
Få øjeblikkeligt ændret de systemer !
Nej, øget overvågning og centralisering er IKKE at løse problemet!

Anonym Anonym

Problemet forstærkes også af, at man lancerer selvbetjeningsløsninger i en lind strøm, uden at tænke sig om.

Et godt eksempel er Trafikstyrelsens hjemmeside for synsrapporter. Her får man en vilkårlig bils stelnummer serveret på et sølvfad, bare ved at indtaste et registreringsnummer. Hvorfor? Et stelnummer svarer til en bils CPR-nummer.

http://selvbetjening.trafikstyrelsen.dk/sider/soegning.aspx

Anders Kvist

Jeg ser ikke problemet med bilens stelnummer som et problem - du kan ikke bruge det til noget? Det er da lige sådan CPR nummeret skal opfattes - man kan hive informationer fra systemer på ID'et, men man kan ikke foretage ændringer. Det kræver registreringsattesten for at kunne omregistrere bilen...

Alle nye biler har forresten stelnummeret stående i forruden...det er ikke hemmeligt :)

Henrik Pedersen

Det betyder at jeg har fået stemmeret.
Og er der en ting som IT medierne efterhånden har lært mig, så er det at Margrethe Vestager er den største skovl i dansk politik når det gælder IT området.

Hvis man har læst Version2 i en længere periode vil man hurtigt bemærke at det gentagne gange er denne kvinde, som har udtalt sig direkte stupidt, og nu også handlet stupidt med hensyn til IT.

http://www.version2.dk/artikel/ingen-nye-cpr-numre-til-danskerne-efter-c...
http://www.version2.dk/artikel/folketinget-fik-falsk-forsikring-om-perso...
http://www.version2.dk/artikel/vestager-nej-til-central-spaerring-cpr-mi...
http://www.version2.dk/artikel/margrethe-vestagers-svar-til-laeserne-om-...
http://www.version2.dk/artikel/vestager-efter-e-valgs-nederlag-jeg-er-dy...
http://www.version2.dk/artikel/margrethe-vestagers-svar-til-laeserne-om-...
http://www.version2.dk/artikel/foerste-debat-i-folketinget-om-e-valg-bar...

Og selvfølgelig juvelen over dem alle:
http://www.version2.dk/blog/derfor-skal-vi-afproeve-e-valg-50341

Der er endnu flere "dis" og udpegninger af hvorfor kvinden ikke bør udtale sig omkring IT rundt omkring i kommentarerne.
Jeg er helt sikker på at der vil kunne findes flere sjove udsagn fra denne kvinde rundt omkring på nettet, og ja jeg er en (velbegrundet) "hater" af Vestager.

CPR numrene er kompromitterede og de bør alle anses som offentligt materiale, og det har burde de havde været fra starten. For lige at slutte af med en god analogi, så svarer det til at jeg kan hæve penge i banken udelukkende ved at taste konto nummeret i automaten - men det er jo som bekendt heller ikke specielt hemmeligt.

Jan Rouvillain

I følge loven om CPR registreret, så har man ret til at få oplyst navn og adresse plus det løse, hvis man har CPR-nummeret på en person. Se kapitel 12 i loven om det centrale person register: https://www.retsinformation.dk/forms/r0710.aspx?id=144955#Kap12

I kapitlet kan man læse at finansielle institutioner har udvidet adgang til oplysninger i registeret.

Du kan ikke få oplyst CPR-nummeret, hvis du har navn og fødselsdato. Du kan da få oplyst adresse og det løse.

Herudover skal offentlig myndighed sikre at CPR-nummeret ikke kommer uvedkommende i hænde. Se kapitel 13 i CPR-loven: https://www.retsinformation.dk/forms/r0710.aspx?id=144955#Kap13

Der skal med andre ord en lov ændring til for at offentliggøre CPR-numrene på os alle sammen. Hvilket vil være det rigtige at gøre. Så er der ingen, som kan bruge CPR-nummeret til autentifikation mere. Og sideeffekten er, at ingen forledes ikke til at tro CPR-numre er hemmelige.

Benny Lyne Amorsen

Problemet ved at offentliggøre CPR-numre er at man samtidigt offentliggør fødselsdato, køn og i nogle tilfælde ting som indvandring/adoption og fødested.

Den korrekte procedure er at renummerere til et nyt 8-cifret nummer med en 2-cifret kontrolsum til sidst. Nummeret skal være strengt tilfældigt tildelt, sådan at ethvert nyt nummer tildeles tilfældigt og der "rulles om" hvis man rammer et nummer der allerede er brugt. Dette nummer skal så være gratis offentligt tilgængeligt for alle. CPR-registeret kan allerede håndtere skift af CPR-nummer, så det er en overkommelig opgave. Efter renummereringen henviser de gamle numre ikke længere til gyldige poster.

Eneste ulempe er, at alle så kan slå op om en given person er i systemet (dvs. har en vis tilknytning til Danmark) eller ej.

Anders Kvist

Jeg ser ikke problemet i fødselsdagen og køn og indvandring fremgår ret ofte af navnet alligevel. Adoption du nævner er heller ikke noget problem - dem som er angivet sådan kan få dem ændret hvis de selv mener det udgør et problem for dem. Jeg er dog ikke med på fødested?

Jeg tror du vil løbe ind i en kæmpe modstand hvis folk skal have nye CPR numre - det kommer ikke til at ske og jeg tror folk har meget lettere ved at huske det fordi det netop er fødselsdagen...

Anonym Anonym

Det er bilens identitet, jeg er bekymret for, ikke ejerens.

Jeg ser heller ikke noget problem i, at man slår synsrapporter op med stelnummeret og får registreringsnummeret oplyst. Men at få et stelnummer oplyst med nummeret fra en stjålen nummerplade, det er et værktøj for en svindler.

Michael Harly

Det kunne jo være at regeringen kunne lære hvad andre lande har gjort med et linene setup med CPR nr. bare et ex.

I Sverige er person nr lavet i stil med det Danske ÅÅÅÅMMDD-XXXX
I Sverige er cpr offentlige tilgængelige
I Sverige har man en ID kort med Billede

I Danmark er cpr nr. hemmeligt med alligevel er det tilgængelige
I Danmark har vi et gult ID kort uden Billede, med det er det bevist flere gange at man kan få lavet pas og kørekort unde problemer med er andens gule kort

Anonym Anonym

Michael, du er inde på noget.

Det danske CPR-nummer har til en vis grad været brugt som en hemmelig nøgle, da man forudsatte, at kun det offentlige og indehaveren kendte til den. Den præmis er for længst gået op i røg, CPR-numre flyder nærmest rundt på internettet og i firmadatabaser. CVR-numre er offentlige og der er ikke nogen information i nummeret udover nøglen, CPR-numre burde laves på samme måde. Fødselsdato (og dermed alder), køn og så videre skal ikke fremgå af nummeret.

Hvis man ikke vil ændre tusindvis af systemer, som er baseret på de nuværende CPR-numre, så kunne man indføre et centralt brugernavn, CBR-navn kunne man passende kalde det. Dette brugernavn skal benyttes i stedet for CPR-nummer til selvbetjeningsløsninger. Det skal være åbenlyst, at brugernavnet i sig selv ikke er nok til, at sikre sig identiteten på en borger og at det lovligt må offentliggøres. Et ex på et brugernavn kunne være "mv000001". Brugernavnet er systemmæssigt relateret til CPR-nummeret og identiteten sikres først med NemID-passwordet og papkortet, indtil vi har fundet på noget mere genialt.

Men et godt gammeldavs ID-kort med billede er stadigvæk ikke at foragte...

PS. Hvor er Datatilsynet henne i denne sag og var det ikke på tide med et informationsministerium?

Log ind eller Opret konto for at kommentere