Datatilsynet: CPR-numre skal krypteres - men ikke i e-mails

Når virksomheder bruger CPR-validering på nettet, er kryptering et krav. Til gengæld er det tilladt at sende ukrypterede e-mails med personnumre. Sådan lyder beskeden fra Datatilsynet, der jævnligt tager sager op om manglende kryptering.

En fejl betød, at auktions-websiden QXL.dk ikke krypterede de personnumre, som blev indsendt af brugere, der gerne ville have deres identitet valideret hurtigt. Den historie fortalte Version2 tidligere i dag.

Og ukrypteret internettrafik med personnumre er et problem, som Datatilsynet støder på jævnligt, forklarer kontorchef Lena Andersen, der ikke kan udtale sig om den konkrete sag med QXL.

»Manglende kryptering af personnumre har vi regelmæssigt taget sager op på. Men efterhånden har i hvert fald de offentlige myndigheder lært, at det skal man ikke,« fortæller hun.

Personnumre er nemlig en såkaldt 'højt beskyttet' oplysning i persondataloven og skal derfor sikres med ?de fornødne sikkerhedsforanstaltninger?.

Til gengæld har reglerne den undtagelse, at private virksomheder gerne må sende ukrypterede e-mails med følsomme personoplysninger. Det er nemlig i praksis lidt af et teknisk mareridt at bruge den nuværende digitale signatur til at sende og modtage krypterede e-mails for den almindelige dansker.

»Det er vanskeligt for de fleste at kryptere en e-mail, og derfor har vi ikke stillet så skrappe krav der, når det gælder den private sektor. I den offentlige sektor er kravene strammere, fordi borgerne her ikke har valgfrihed,« siger Lena Andersen.

At sørge for en sikker SSL-kryptering af en webside er derimod så overkommeligt, at det er et krav til alle.

»På en hjemmeside kan det lade sig gøre at kryptere trafikken, uden at jeg som almindelig bruger skal installere noget indviklet. Derfor kræver vi, at det sker krypteret, når det er personnummer eller andre fortrolige oplysninger indblandet,« fortæller hun.

For nogle år siden var der ballade, da Datatilsynet kritiserede bibliotekernes skik med at sende e-mails ud om bøger, der skal afleveres eller afhentes, uden at de var krypteret. Det endte med en dispensation til bibliotekerne, netop fordi et krav om kryptering i praksis ville sætte en stopper for den service.

Til gengæld er der ingen undskyldning for at sende personfølsomme oplysninger rundt mellem myndighederne uden kryptering. I dag har alle dele af det offentlige system nemlig mulighed for at sende sikre e-mails til hinanden, oplyser kontorchefen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Dreijer

Hvis en virksomhed ikke ordentligt kan beskytte de informationer, de sender ud, så burde de slet ikke sende informationerne ud. Det er da ikke nok bare at sige "jamen, det er for svært" og så gå ud fra at en hacker nok skal holde sig i skindet.

Da jeg fx registrerede mig på den danske ambassade i New York sidste år, skulle jeg bl.a. udfylde pasinformation og personlige data omkring min familie. Det blev alt sammen bagefter sendt til den e-mailadresse, jeg havde angivet. Mailen indeholdt alle de fortrolige informationer, jeg havde indtastet tidligere, og det tog mig lige præcis 10 sek. at fyre en gnaven e-mail af sted til ambassaden.

Enten må de sørge for, at man kan læse informationerne på en sikker måde (ved fx at linke til en krypteret hjemmeside), eller også må de ekskludere de ting som er fortrolige.

Hans Schou

hvem er bange for Datatilsynet

Det er der næppe ret mange der er.

Jeg har haft en sag kørende mod Sonofon hos Datatilsynet i 1½ år, og begge parter har givet alle de replikker og treplikker der kan gives, og så har den været syltet nu i et år hos Datatilsynet.

I 1988 havde jeg en lignende sag om "egen acces" hvor Danske Bank var modparten, og her tog det kun 10-11 måneder at komme til en afgørelse, hvor jeg iøvrigt fik medhold. Det er godt nok 20 år siden, men det sandelig gået tilbage for "Registertilsynet" (som det hed den gang).

Ærlig talt, luk den institution. Det er et blændværk!

Niels Dybdahl

At sørge for en sikker SSL-kryptering af en webside er derimod så overkommeligt, at det er et krav til alle.

Umiddelbart vil jeg påstå at det er langt nemmere at kryptere en email end at sætte en SSL-server op. Faktisk har jeg ikke fantasi til at forestille mig almindelige brugere der sætter en SSL-server op.
Jeg har selv prøvet at sende krypterede emails med den digitale signatur og det var der ingen ben i.

Søren Dreijer

Umiddelbart vil jeg påstå at det er langt nemmere at kryptere en email end at sætte en SSL-server op. Faktisk har jeg ikke fantasi til at forestille mig almindelige brugere der sætter en SSL-server op.
Jeg har selv prøvet at sende krypterede emails med den digitale signatur og det var der ingen ben i.

Nu er det jo ikke slutbrugerne, der bliver stillet krav om at bruge SSL-kryptering -- det er virksomheden -- og i den forbindelse har vi jo alle en browser, som understøtter SSL, hvorimod ikke alle (sikkert de færreste) har den tekniske snilde til at dekryptere en krypteret e-mail.

Anonym

Diskussionen om SSl versus kryptering er tåbelig.

SSL kan ikke beskytte mod serveren, det kan kryptering. Eftersom Serveren klart er det svage punkt (for skalerede angreb - clienten ryger kun for de dele der vedkommer clienten og det skal håndteres via nøgler som IKKE ligger på clienten) er SSL ikke en løsning.

Jeg kan ikke sende en sikker besked end-to-end til min læge med SSL fordi serveren er man-in-the-middle og et blødende sikkerhedshul.

Niels C Nielsen

Korrekt, at SSL kun beskytter data under transporten til serveren, men ...

Jeg kan ikke sende en sikker besked end-to-end til min læge med SSL fordi serveren er man-in-the-middle og et blødende sikkerhedshul.

Kan man så med samme ret sige, at lægesekretæren som man-in-the-middle ved gl.dags brevpost også er et sikkerhedshul? I sidste ende er det vel et spørgsmål om tillid?

Anonym

Kan man så med samme ret sige, at lægesekretæren som man-in-the-middle ved gl.dags brevpost også er et sikkerhedshul? I sidste ende er det vel et spørgsmål om tillid?

Forskellen er at lægen og måske også sekretæren er du NØDT til at stole på - og de menneskelige relationer ØNSKER du måske at stole på.

Men systemer KAN du ikke stole på, slet ikke servere hvor risiko koncenteres og sikkerheden falder drastiske med integrationen med andre systemer, andre kanaler og interessen/værdien i at misbruge data samtidig stiger eksponentielt.

Det drejer sig IKKE om tillid medmindre du afpresses til at udvise tillid til systemer du ikke burde stole på - dvs. tvinges til at vælge mellem service eller sikkerhed.

Men skal man udtrykke det i den form er det meget enkelt - tillid kan man have til mennesker men ikke til systemer og interesser.

Anonym

En bikommentar.

Det er meget typisk at man centralt har travlt med at dæmonisere mennesker og dermed løser ethvert sikkerhedsproblem med mere central overvågning - princippet er at løsningen på alle problemer er "mere magt til mig".

Men det er objektivt mere sikrende at beskytte mod misbrug fra de mange (bagdøre efterlader systemerne pivåbne) men opretholde ansvarlighed for de få (f.eks. DIN læge og sektetær) og end det at øge risikoen for alle ved at centralisere og eskalere trusselsmodellen som man gør.

Søren Dreijer

Diskussionen om SSl versus kryptering er tåbelig.

SSL kan ikke beskytte mod serveren, det kan kryptering. Eftersom Serveren klart er det svage punkt (for skalerede angreb - clienten ryger kun for de dele der vedkommer clienten og det skal håndteres via nøgler som IKKE ligger på clienten) er SSL ikke en løsning.

Jeg kan ikke sende en sikker besked end-to-end til min læge med SSL fordi serveren er man-in-the-middle og et blødende sikkerhedshul.

Jeg har lidt svært ved at følge dig her. Selvfølgelig er det klart sikrest hvis fx din læge kan kryptere en besked på sin computer og sende den til dig uden at den kan læses af en komprimiteret webserver.

Problemet her er bare at du siger man absolut ikke kan bruge SSL fordi du ikke kan stole på serveren. Du er jo nødt til at have et eller andet du kan stole på -- ellers er hele systemet jo ubrugeligt. Jeg mener, hvis din webserver er blevet hacket, mon så ikke du har større problemer at bekymre dig om end om en hacker kan opsnappe beskeder mellem dig og din læge? Ethvert system med traceability vil jo sikkert gemme disse beskeder i en database eller lignende, og så er det for den sag fuldstændig ligegyldigt hvor meget du gør ud af at sende informationerne sikkert.

Anonym

Søren

Jeg siger ikke at man ikke kan bruge SSL. Jeg siger at SSL er placebo sikkerhed som ikke kan erstatte end-to-end kryptering.

Stol på lægen, ikke på serveren. Underforstået - et cpr-nummer har intet at gøre på en server. Det er en 1970er tankegang, der blev forældet med internettet.

Hvis et system er så kritisk for samfundet at man er nødt til at koble helt tilbage mod cpr-nummeret (meget få), så er det også mere end kritisk noktil at man selvfølgelig antager at serveren hackes eller på anden måde misbruges på et tidspunkt.

Det største problem er ikke hackerne, men interesserne.

Log ind eller Opret konto for at kommentere