Datatilsynet: CPR-numre skal krypteres - men ikke i e-mails
En fejl betød, at auktions-websiden QXL.dk ikke krypterede de personnumre, som blev indsendt af brugere, der gerne ville have deres identitet valideret hurtigt. Den historie fortalte Version2 tidligere i dag.
Og ukrypteret internettrafik med personnumre er et problem, som Datatilsynet støder på jævnligt, forklarer kontorchef Lena Andersen, der ikke kan udtale sig om den konkrete sag med QXL.
»Manglende kryptering af personnumre har vi regelmæssigt taget sager op på. Men efterhånden har i hvert fald de offentlige myndigheder lært, at det skal man ikke,« fortæller hun.
Personnumre er nemlig en såkaldt 'højt beskyttet' oplysning i persondataloven og skal derfor sikres med ?de fornødne sikkerhedsforanstaltninger?.
Til gengæld har reglerne den undtagelse, at private virksomheder gerne må sende ukrypterede e-mails med følsomme personoplysninger. Det er nemlig i praksis lidt af et teknisk mareridt at bruge den nuværende digitale signatur til at sende og modtage krypterede e-mails for den almindelige dansker.
»Det er vanskeligt for de fleste at kryptere en e-mail, og derfor har vi ikke stillet så skrappe krav der, når det gælder den private sektor. I den offentlige sektor er kravene strammere, fordi borgerne her ikke har valgfrihed,« siger Lena Andersen.
At sørge for en sikker SSL-kryptering af en webside er derimod så overkommeligt, at det er et krav til alle.
»På en hjemmeside kan det lade sig gøre at kryptere trafikken, uden at jeg som almindelig bruger skal installere noget indviklet. Derfor kræver vi, at det sker krypteret, når det er personnummer eller andre fortrolige oplysninger indblandet,« fortæller hun.
For nogle år siden var der ballade, da Datatilsynet kritiserede bibliotekernes skik med at sende e-mails ud om bøger, der skal afleveres eller afhentes, uden at de var krypteret. Det endte med en dispensation til bibliotekerne, netop fordi et krav om kryptering i praksis ville sætte en stopper for den service.
Til gengæld er der ingen undskyldning for at sende personfølsomme oplysninger rundt mellem myndighederne uden kryptering. I dag har alle dele af det offentlige system nemlig mulighed for at sende sikre e-mails til hinanden, oplyser kontorchefen.
