Den senere tid har adskillige politikere ufrivilligt fået offentliggjort deres personnumre af såkaldte aktivister. Senest er forløbet kulmineret med, at en tidligere politimand er blevet anholdt, blandt andet for at have offentliggjort forsvarsminister Nicolai Wammens (S) og statsminister Helle Thorning-Schmidts (S) CPR-numre.
Men hvad er CPR-nummeret egentlig for en størrelse? Jo, først og fremmest er det ikke en følsom personoplysning, som eksempelvis etnisk baggrund er det jf. persondataloven. CPR skal derimod betragtes som en unik nøgle, der kan bruges til entydigt at identificere enkeltpersoner i et it-system, forklarer chef for CPR-kontoret under økonomi- og indenrigsministeriet Carsten Grage:
»Personnummeret er en god måde at fremsøge en person på. Hvis man fjernede det, vil man i stedet kunne søge på eksempelvis navn og adresse. Det er ikke nødvendigvis entydigt, og så ville man pludseligt kunne stå i en situation, hvor man måske kan komme til at sagsbehandle den forkerte person.«
Han peger på, det er vigtigt ikke at bruge CPR-nummeret som bekræftelse af, hvem en person er. Blandt andet fordi, nummeret bliver bredt anvendt og derfor også er kendt i en lang række sammenhænge.
»Det er i hele samfundet, så derfor er det virkeligt at gøre sig selv en bjørnetjeneste, hvis man betragter personnummeret som noget helt unikt, der skal beskyttes, som var det en pinkode eller lignende. Det vil også være med til skabe et billede af, at personnummeret kan bruges til at autentificere en person. Det kan man ikke, og det må man ikke kunne,« siger Carsten Grage og fortsætter:
»Det er en skrøne at bare fordi, man opfanger en andens personnummer, så kan man eksempelvis lige gå ind i en bank og hæve penge.«
Carsten Grage vil ikke afvise, at der kan være enkelte situationer, hvor et CPR-nummer i dag giver adgang til mere end det burde. Men så er der tale om en fejlagtig brug af nummeret.
»Man må ikke kunne bruge alene det, at man en andens personnummer til noget. Og det mener jeg sådan set også er tilfældet langt hen ad vejen i dag. Det vil altid være muligt at finde tilfælde, hvor det alligevel har været muligt at bruge personnummeret, men så er der tale om en sikkerhedsbrist,« siger han.
Men hvis CPR-nummeret bare er en entydig nøgle i forbindelse med opslag i et it-system, hvad er så problemet ved at det er offentlig kendt vil nogen måske spørge sig selv. Det har Datatilsynet, som også sendte et brev til den tidligere politimand og aktivist med krav om at fjerne de to ministres CPR-numre fra sin hjemmeside, et svar på.
»CPR-nummeret er ikke en følsom personoplysning, men det er en oplysning, der nyder en høj beskyttelse i persondataloven. Og som man skal have sikkerhedsforanstaltninger omkring,« forklarer kontorchef i Datatilsynet Lena Andersen.
Når CPR-nummeret ikke bliver betragtet som en følsom oplysning, så hænger det sammen med, at det ikke bliver nævnt i de paragraffer i persondataloven, som omhandler følsomme personoplysninger. Eksempelvis etnisk baggrund eller seksuelle forhold.
»Når vi taler om følsomme oplysninger, er det de særlige oplysninger, som er nævnt i persondatalovens paragraf 7 og 8. Og grunden til, at CPR-nummer ikke er en følsom personoplysning er ganske enkelt, at det ikke er omfattet af paragraf 7 eller 8,« forklarer Lena Andersen.
Men alligevel nyder CPR-nummeret altså særlig beskyttelse i henhold til persondataloven. Det fremgår af paragraf 11, hvor der blandt andet står, at et personnummer ikke må offentliggøres uden udtrykkeligt samtykke.
Endvidere er der paragraf 41 som stiller krav til dataansvarlige og databehandlere om at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysninger komme til uvedkommendes kendskab.
»Generelt kan man sige, at hvis nogen bevidst offentliggør CPR-numre, så er det paragraf 11, vi kigger på. Hvis en kommune eller en virksomhed som følge af fejl og utilstrækkelig sikkerhed kommer til at offentliggøre CPR-numre, så er det paragraf 41,« siger Lena Andersen
Og i øvrigt er der i persondataloven slet ikke noget, der hedder personfølsomme oplysninger, selvom vendingen ofte bliver brugt, påpeger kontorchefen.
»Personfølsom er ikke et ord, der bruges i persondataloven eller Datatilsynets praksis. Og når vi støder på det i høringer mv., fraråder vi, at det anvendes, da der ikke findes en definition af, hvad det dækker,« siger Lena Andersen og tilføjer:
»I persondataloven er et samlet begreb, der hedder personoplysninger. Det dækker alle typer af oplysninger om personer, både følsomme og ikke-følsomme oplysninger.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
