It-studerende risikerer bøde på 25.000 kroner for CPR-happening

Søren Louv-Jansen risikerer en bøde, der kan gå op til 25.000 kroner, for at have lagt vist politikeres CPR-nummer i et 'CPR-lotteri' på nettet. Det fortæller Datatilsynet, som politianmeldte ham.

Det kan koste den it-studerende Søren Louv-Jansen mange måneders SU at lægge fem politikeres CPR-numre på nettet. Den største bøde, der indtil videre er uddelt i sådan en sag, var nemlig på 25.000 kroner.

Sådan lyder det fra Datatilsynet, som også bekræfter, at man har sendt en politianmeldelse af sted, da tilsynet blev opmærksom på Søren Louv-Jansens webside med CPR-lotteriet. Her kunne man gætte på, hvilket af fire tal der var det korrekte CPR-nummer for fem kendte politikere.

Læs også: It-studerende sigtet for at offentliggøre Thornings CPR-nummer

Websiden har udløst en politianmeldelse for at overtræde Persondatalovens §11, fortæller Datatilsynet til Version2, men derudover ønsker tilsynets direktør ikke at kommentere den konkrete sag, kun at fortælle mere generelt om den slags sager.

»Når der bliver offentliggjort CPR-numre, går vi altid ind i sagen. Det afhænger så af de konkrete omstændigheder, om vi politianmelder. Det har vi gjort før, så det er ikke første gang,« siger direktør for Datatilsynet Janni Christoffersen til Version2.

Søren Louv-Jansen har mange gange tidligere over de seneste år gjort opmærksom på, hvor nemt det er at finde frem til en persons CPR-nummer, hvis man har en fødselsdato. Men alligevel bliver problemet ikke rettet op, og derfor valgte han indirekte at offentliggøre en række politikeres CPR-numre med sit CPR-lotteri, der er taget offline igen.

Læs også: Dansk hjemmeside har adgang til alle CPR-numre: Her er Thornings CPR-nummer

I lignende sager om offentliggørelse af personnumre har det som regel udløst en bøde at offentliggøre andre personers CPR-nummer uden deres samtykke, forklarer Janni Christoffersen.

»Retspraksis er en bøde i størrelsesordenen 5.000 til 10.000 kroner. Det højeste har været 25.000 kroner,« siger direktøren og henviser også til en sag fra 2002, hvor et firma fik en bøde på 3.000 kroner for uforvarende at lægge kunders CPR-numre på nettet i nogle indscannede dokumenter.

Som regel er det offentlige myndigheder, som ved en fejl lægger et dokument online, der indeholder navne og personnumre. For eksempel elevlister på universiteter eller patientoversigter på et hospital. Forskellen er bare, at en offentlig myndighed ikke kan få en bøde, kun en påtale.

»Der er ikke hjemmel i loven for at straffe offentlige myndigheder. Vi kan i stedet rette henvendelse til den politiske ledelse,« siger Janni Christoffersen

Hun nævner som eksempel en kommune, der tre gange blev taget i at bryde loven. Her fik kommunalbestyrelsen et brev fra Datatilsynet, der bad dem om at sikre, at der ikke blev lagt dokumenter med personoplysninger online.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Schou

I nogle af de sager hvor offentlige institutioner uforvarende er kommet til at lægge CPR-data på nettet, så har der også været fortrolige patientinformationer sammen med. Altså den slags information hvor en kommune med rette taler om tavshedspligt. Her giver det mening at give en bøde.

Men når man offentliggør Indenrigsminister Margrethe Vestagers (R) CPR-nummer, som egentlig bare er et journalnummer, så er der ikke noget gjort ulovligt.

Christian Nobel

»Der er ikke hjemmel i loven for at straffe offentlige myndigheder. Vi kan i stedet rette henvendelse til den politiske ledelse,« siger Janni Christoffersen

Hvilket er et rigtig stort problem i vores samfund, nemlig at når man taler om det offentlige eller offentlige projekter, så kan ansvaret meget hurtigt blive ingens (hvilket vi så også ser hos katastrofe foretagender som DSB osv.).

Brænder lokummet så voldsomt, så kan man eventuelt lave en rituel fyring, eller give en minister en næse, men ellers er det så som så.

Det bliver vist mere og mere tydeligt at borgerne er til for samfundet, selv om det i teorien burde være omvendt.

Christian Schmidt

Søren Louv-Jansens pointe er jo, at CPR-nummeret for en given person er let tilgængeligt fra diverse webtjenester hos bl.a. mobilselskaber. Bryder de også Persondatalovens § 11?

Jeg antager, at det mere præcist er § 11, stk. 3, han er sigtet for at overtræde?

Hvad er det egentlig for en lovgivning, der fritager teleselskaber og andre fra det generelle forbud mod registerering i § 11, stk. 2, nr. 1?

Martin Wolsing

Nogle gange kan man altså godt fremføre sine pointer uden at føre dem ud i livet.

Jeg bryder heller ikke ind i Føtex for at udstille deres dårlige sikkerhed.

Jeg sniger mig ikke gratis ind på et museum for at udstille deres dårlige adgangskontrol.

Jeg går heller ikke op på kommunen og roder i deres computersystem bag skranken for at vise hvor nemt det er.

Hvorfor er det så i orden, lige så snart vi snakker software, at udstille fejl og mangler ved at gøre noget ulovligt?

Man må gerne hacke offentlige systemer, bryde ind i netbanker osv. bare man husker at sige, at "man gjorde det for at udstille sikkerhedsproblemer".

Jeg forstår det ganske enkelt ikke. Dårlig sikkerhed, uanset om det så er digitalt eller i den fysiske verden, giver aldrig carte blanche til at folk så må tage for sig af retterne. Bare fordi jeg ikke låser min dør giver det ingen ret til at gå ind i mit hus.

s_ mejlhede

Bare fordi jeg ikke låser min dør giver det ingen ret til at gå ind i mit hus.


Jo hvorfor ikke, det gør vi da her ude på landet, og forsikring dækker også :-)

Men hvis der bliver stjålen noget fra dig, er det ikke tyveri men ran.
Desuden dækker din forsikring ikke, fordi de vil mene at du ikke har opbevaret dine ting forsvarligt..
Så både straf og ansvar for dig selv bliver nedsat hvis man har sløset med sin omgang med ting, det bør være det samme med data.

Carsten Hahn

@Martin... er det ikke således at man (=mange herinde) har fremført netop CPR problemet gentagne gange uden at komme igennem med pointen. Nu har Mr. Louv-Jansen så gjort noget ved det så pointen denne gang blev hørt. Desværre blev den "hørt" forkert - der er stadig ingen som forholder sig aktivt til problemstillingen, men istedet koncenterer sig om det brud som Louv-Jansen har udført.
Analogien omkring dit låste hus kan ikke bruges. Du er den eneste som kommer til skade af at dit hus står ulåst. Det er alle danskere der kommer til skade når CPR-huset står pivåbent.
Hvis Louv-Jansen får en bøde skal jeg nok give en skærv !!

Thomas Jensen

"Bare fordi jeg ikke låser min dør giver det ingen ret til at gå ind i mit hus."
Jo hvorfor ikke, det gør vi da her ude på landet, og forsikring dækker også :-)

Dækker hvad?

Men hvis der bliver stjålen noget fra dig, er det ikke tyveri men ran.

Vil du ikke være sød at dokumentere denne udtalelse?

Jeg har ikke kunne finde noget der understøtter din påstand. Politikens nudanskleksikon siger om ran: "Tyveri der udføres åbenlyst, men uden vold". Gyldendals åbne encykopædi og Ordbog over det danske sprog understøtter heller ikke din påstand.

Desuden dækker din forsikring ikke, fordi de vil mene at du ikke har opbevaret dine ting forsvarligt..

Ejendomsret er ejendomsret. At forsikringen ikke dækker er fordi de har nogle krav i forbindelse med tegnelsen af en forsikring, ikke fordi loven kræver det. Tyveri er tyveri.

Søren Louv

Mange tak for det generøse initiativ. Det er virkelig fedt at høre, at ikke alle synes jeg er en selvttægtstosse, der gør det her for min egen skyld.
På nuværende tidspunkt har jeg jo ikke fået nogen bøde, og jeg forventer selvfølgelig at vinde en eventuel sag :)
Så det bliver forhåbentligt ikke aktuelt.

Morten Steffensen

Søren Louv-Jansen offentliggjorde problemet med at man kunne fiske cpr numre fra teleselskaberne allerede for mere end et år siden. Argumentet med at hullerne stadig findes er en halv sandhed. Det hul Søren eksperimenterede med blev lukket få timer efter at det blev påvist. Der er altså ikke rigtigt noget nyt omkring dette som kan hellige at Søren laver et site hvor han håndtere, gemmer og udstiller stjålne cpr numre. Klart et usmageligt og forsætligt brud på dataregisterloven.

Ser man derimod på hvor meget medie omtale som Sørens site får, så får man unægtelig den tanke at sitet er lavet for egen vindings skyld simpelthen for at markedsføre sit eget navn. Derfor bør man i bødeudregningen tage hensyn til den potentielle markedsværdi sådan en site har. Her taler vi sikkert 7-ciferede tal.

Generelt er der et problem i at folk tror det er en heroisk gerning når der "for sagens skyld" begås denne slags IT-ulovligheder. Jeg tænker her også på noget så dumt som at bevise at Nets kunne trækkes ned ved et DoS attack. Tænk på hvilken byrde dette tilføre andre - uskyldige mennesker. Hvorfor ikke bare i første omgang henvende sig til rette vedkommende og gøre opmærksom på evt problemer ?

Da dette er så klart et forsætligt lovbrud så bør man her statuere et eksempel på hvad der sker når man går over stregen.

Søren Louv

Bødens størrelse vil jeg ikke diskuttere med dig. Men når du siger, at hullerne på teleselskabernes hjemmesider blev lukket efter få timer, tager du fuldstændig fejl.

Jeg fandt "hullerne" på samtlige større teleselskabers hjemmesider. Efter jeg gjorde opmærksom på det første gang fik de fleste lappet hullet efter et par måneder. Nu, over halvandet år efter, finder jeg stadig teleselskaber, der ikke har rettet det.
I skrivende stund har jeg fuld adgang til alle cpr-numre i DK. Det er ikke blevet rettet.

(Sidenote: Jeg mener i øvrigt ikke det er teleselskabernes skyld. Fejlen er, at CPR-nummeret bliver brugt som verifikation.)

Morten Steffensen

@Søren Jeg gentager mig selv: en halv sandhed. Jeg har ikke undersøgt samtlige teleselskaber men tror du har ret i der stadig findes problemer her - både det du påviste og andre. Men dette er jo ikke nyt - vi skal videre.

Jeg tror problemet er et økonomisk - at nemid koster pr opslag afhængig af hvilken licens der vælges. Hvis der fandtes et gratis system så ville det helt sikkert bliver udbredt hurtigt.

Jeg mener du bør straffes for dine handlinger og specielt nu mens du er i mediernes årvågenhed således at vi kan få statueret et eksempel på at selvtægt ikke "betaler" sig. Kr 25.000 er alt for lille en bøde men skal istedet svare til reklameværdien du ville betale for at få en tilsvarende omtale.

Rasmus Kaae

Jeg har aldrig forstået tanken bag "jeg vil bevise at X har dårlig sikkerhed så derfor tilegner jeg mig X's data og udstiller Y's informationer".

Det har været gennemgående i utallige hacker/cracker sager de seneste 20-30 år.

Hvad er pointen?

Ja, der fremsættes en pointe om at X har dårlig sikkerhed, men tilgengæld udstiller man Y's data.

Hvis man laver indbrud skal man straffes for indbruddet. Hvis man stjæler noget skal man straffes. Hverken indbrud eller tyveri er lovligt i den analoge verden, hvorfor skal det så være lovligt i den digitale?

Morten Krogh Andersen

Søren har offentliggjort nogle CPR-numre, som han ved er de rigtige. Han fortæller ikke direkte hvilke numre (af fire) der er de korrekte for de nævnte personer.

Hvor går grænsen?

Med reglerne for konstruktion af de fire sidste cifre, samt viden om en persons fødselsdag (samt evt køn), kan man forholdsvis let generere, og præsentere, alle mulige kombinationer af disse fire sidste cifre.

Hvis man så viser ALLE disse kombinationer offentligt, så har man jo pr. definition offentliggjort personens cpr-nummer.

Er det ulovligt? Jeg kender jo ikke personens cpr-nummer på forhånd, men har alligevel offentliggjort det.

Søren Louv

Hej Rasmus,
Jeg kan godt se din pointe, og tror at mange har den samme opfattelse som dig. Jeg er dog ikke enig i din analogi, og tror du blander to sager lidt sammen.

Den ene sag omhandler, hvordan jeg har tilegnet mig disse CPR-numre. Det har jeg gjort på lovlig (kreativ) vis, gennem diverse teleselskaber. Jeg har siden slut 2011 påvist hvordan, og har fået juristers ord på, at det ikke er i strid med lovgivningen. Det er værd at bemærke, at Datatilsynet heller ikke er ude efter mig på denne front.

Den anden sag omhandler CPR Lotteriet. Der er nogen der mener, at jeg har offentliggjort CPR-numre. Det er jeg faktisk uenig med dem i. Et CPR-nummer, er et delvist tilfældigt tal, valgt ud fra en foruddefineret liste af 270 tal. Denne liste på 270 tal kan, som mange påpeger, udregnes rent matematisk - uden hax eller opslag i registre.

Der er altså tale om ren sandsynlighedsregning for, om man kan gætte hvilket CPR-nummer, en person har. Det har jeg blot tydeligtgjort med CPR Lotteriet.

Cristian Ambæk

Men skal vi så ikke komme i gang med en indsamling, så vi kan skillinge lidt sammen til Sørens evt. bøde.
Jeg smider gerne penge i den pulje for, at bakke op om Søren.

Det var det første jeg selv tænkte inden jeg læste kommentar.
Så du må lave en indsamling Søren hvis du skal betale sådan en bøde. Mon ikke de 25.000 kr så hurtigt kommer ind på din konto igen.

Men dette er jo typisk. En borger giver adgang til et CPR-nummer som er blevet sagt er et journal nummer og så er der store problemer. Men når det offentlige sjusker med hele vores infrastruktur, mister utallige informationer til millioner og millioner af kroner og bryder NØJAGTIG de samme regler. Så sker der ingenting. Det er jo latterligt.

Morten Steffensen

@Søren Jamen, så lægger du da bare din kode op på github og publicere en link så vi alle kan se hvordan du kommer frem til eksempeltvis "1 ud af 5 rigtige". Jeg antager politiet har "lånt" din computer så der er sikret en kopi af softwaren. Hvis du således ikke har gemt cpr numre i din kode, eller tilgår 3-part systemer på en måde som du ikke har tilladelse til, jamen, så burde denne diskussion jo slet ikke være startet.

Allan Astrup Jensen

Jamen, han har jo ikke gjort det for vindings skyld, men kun udstillet nogle problemer som myndighederne ikke ønsker at gøre noget ved og skjuler for befolkningen. Det skulle man takke ham for. Man går efter budbringeren i stedet for synderen ligesom med Snowden. Magtapparatet glemmer at de er befolkningens tjenere og ikke deres "herrer".
Den mangel på ansvarlighed og kontrol med databaserne i CSC er lang mere alvorlig, men den straffes nok ikke.

s_ mejlhede

Idet man kan undtage enkelte på linje med dem der kører med hemmeligt telefonnummer - for at undgå chikane fra en eks.


Nej, for med offentliggørelse, og omdannelse til et journal nummer kan det jo ikke bruge til Ciakane længere. Der for kan alle Navne og CPR nummer oplyse.

Man skal så nok lave Dommy navne på alle dem som ikke er brugt, ellers kan man jo let finde navne på hvem som får en ny hemmelig identitet, under vidnebeskyttelse.

Knud Houmøller Krog

I "Kejserens nye klæder" bliver en kejser forledet til at tro, at han går rundt i klæder lavet af smukke stoffer, men han går i virkeligheden bare rundt i undertøj.

"Kejseren" blev underlagt bluf i H. C. Andersen eventur fra 1837, måske politikerne skulle lære forskellen mellem smukke stoffer og undertøj. Vi har nemlig set, at det kun er undertøj

Jesper Høgh

Ja, ynkeligt.

Ikke enhver script kiddie kan eftergøre dette. Men, der har været adgang til data, hvor der ikke burde have været adgang til data.

At have påpeget det burde ikke udløse en bøde, men en medalje!

Jesper Høgh

PS:
Der er jo to væsentlige ting at hæfte sig ved:

1: Der har været adgang for uvedkommende (NSA naturligvis, som vedkommende - hvis man spørger dem).

2: Adgangen har kunne foregå uden at det blev opdaget. Eller uden at det blev stoppet.

Og så ligger konspirationsteorierne jo bare dér og venter:

Er det en parallel til Blekingegade sagen, hvor PET ventede og ventede, tilsyneladende i håbet om at en fisk, større end den i dag, ville vise sig i morgen?
Per Larsens senere massive forfremmelse lugter lidt af at den operative leder, leder højere magters operationer.

Har man troet, at det var NSA - nej, vel - de har vel reglementeret adgang(?)

Een ting er, at der har været adgang - det kan man måske forstå, og måske endog tilgive, da jo enhver tog/bus kontrolleur (de hedder vidst i vore dage revisorer) via sin terminal (sag i Aarhus, hvor man hyggede sig med at finde oplysninger på chefen) har adgang til CPR.

Jeg er enig i synspunktet at CPR nummeret er udmærket som stelnummer betragtet, men ubrugeligt som legitimation.

Men på et tidspunkt kommer der vel en form for sikker borger-identifikation. Hvis dét er lige om hjørnet, kunne man jo passende kalde det sådan noget som f.eks. nem-id. (:o))

Jørgen L. Sørensen

Hvis huset er ulåst eller dårligt sikret er der tale om simpelt tyveri hvilket giver væsentligt forringede erstatninger.

Ja, for så vidt angår erstatning, ifølge mange forsikringsbetingelser.

Men straffeloven (https://www.retsinformation.dk/Forms/R0710.aspx?id=142912) betragter vist det hele som tyveri (§ 276), og omtaler kun sporadisk indbrud (§ 286).

Der kan dog være formildende omstændigheder (§ 287), hvilket er behandlet i en særskilt bekendtgørelse (https://www.retsinformation.dk/Forms/R0710.aspx?id=59590).

Jeg er ikke jurist, så muligvis er der en masse jeg har overset eller misforstået :-)

Edit: Der er også lidt wiki om tyveri: https://da.wikipedia.org/wiki/Tyveri

Steen Larsen

Såvidt jeg kan se var det slet ikke Søren Louv-Jansen der offentliggjore disse CPR numre. Han demonstrerede jo bare at andre allerede havde offentliggjort disse CPR numre.

Jeg synes at Datatilsynet skulle gå til sagens rod som jo handler om at CPR numre allerede er frit tilgængelige for enhver som gider at bruge mere end at par minutter på at finde dem.
Hvorfor har Datatilsynet ikke politianmeldt de teleselskaber og småbanker som offentliggør CPR numre via deres web sider?
Det er da lidt for nemt at gå efter en studerende som prøver at gøre opmærksom på et reelt problem! Hvorfor sagde Datatilsynet ikke tak til Søren da han gjore opmærksom på problemet den første gang og hvorfor greb de ikke ind dengang?

Mvh
Steen

Log ind eller Opret konto for at kommentere