For at forbedre sikkerheden, kræver hjemmesiden for den digitale tinglysning nu, at brugere skal være koblet på med NemID for at kunne oprette en digital fuldmagt. Sådan var det ikke for en uge siden. Dermed var det muligt alene ud fra en fødselsdato af generere og afprøve et begrænset antal personnummer-kandidater i kombination med et navn for derved at finde frem til en persons rigtige personnummer.
Tiltaget med at kræve, at brugere først logger på med digital signatur eller NemID (begge dele er muligt) sker som reaktion på den seneste tids sager, hvor det er kommet frem, at tinglysning.dk kan misbruges af uvedkommende til at finde folks cpr-numre efter førnævnte fremgangsmåde.
»Vi begrænsede den nemme adgang, der var til at bruge en fuldmagt, og det er da med beklagelse, vi må gøre det. Men når der er nogen, der misbruger vores system til noget, det ikke er tiltænkt, så må vi jo se, om vi kan gøre noget for at begrænse det misbrug,« siger retspræsident for tinglysningsretten Søren Sørup Hansen.
En lille test Version2 har foretaget viser dog, at det stadig er muligt, at gætte løs på cpr-numre, når der først er logget ind på tinglysning.dk med NemID. Og på den måde få systemet til at afsløre, når den rigtige kombination af cpr-nummer og navn bliver indtastet.
»Det er jo igen spørgsmålet om afvejningen mellem på den ene side et brugerhensyn og på den anden side risikoen for misbrug. Hvis du skal oprette en fuldmagt, fordi du ikke selv vil skrive under på et skøde, når du sælger din ejendom, men du vil give din advokat en fuldmagt, så er det jo ret væsentligt, at du også er sikker på, at den fuldmagt, du opretter er rigtigt. Så du ikke lige pludseligt kommer i en situation 3-4 uger senere, når den skal bruges, at så er den ikke noget værd,« siger Søren Sørup Hansen.
Og hvad hvis jeg har ondt i sinde og vil gætte nogens cpr-nummer, og jeg så sørger for at være logget ind via NemId, og jeg prøver eksempelvis 130 gange og finder frem til en persons cpr-nummer. Ringer I så til mig og siger, at det må jeg ikke?
»Nej, det gør vi ikke. men hvis der er nogen, der har mistanke om, at nogen har misbrugt systemet, så har vi mulighed for at se, hvem der har gjort det. Det er jo idéen ved, at vi nu lægger den digitale signatur (eller NemId, red.) på, så bliver det meget lettere. Uden en digital signatur, så har man selvfølgeligt nogle ip-adresser, men dem er der jo mulighed for at fuske med,« siger Søren Sørup Hansen.
Da historierne om en tidligere politimands offentliggørelse af forsvarsminister Nicolai Wammens (S) og statsminister Helle Thorning-Schmidts (S) personnumre begyndte at rulle, kom det også frem, at personbogen på tinglysning.dk kunne bruges af uvedkommende til at finde frem til personnumre. Personbogen kræver det imidltertid stadig ikke login via NemID at tilgå på tinglysning.dk
Dog er personbogen i dag ikke lige så åben, som den var tidligere. Da var det nemlig muligt at få bogen til at både at svare på, om en cpr-nummer-kandidat var den rette og hvilken adresse, personen med cpr-nummeret var tilknyttet. Igen blot ved at kende navn og fødselsdato på en vilkårlig borger.
Sådan er det ikke længere. Nu svarer personbogen på tinglysning.dk kun positivt på en forespørgsel via cpr og navn, hvis en person er registreret i bogen. Eksempelvis i forbindelse med at have taget pant i en cykel. Personer der har taget pant i fast ejendom som et hus fremgår ikke af personbogen på den baggrund. På en måde er det kun muligt at gætte cpr-numre på et begrænset antal personer via den åbne personbog på tinglysning.dk
Og på den baggrund mener Søren Sørup Hansen heller ikke potentialet for misbrug af systemet er lige så stort, som det ville være, hvis systemet til oprettelse af digital fuldmagt stadig lå ubeskyttet, altså uden NemID.
»I personbogen kræver det, at der er registreret noget om den pågældende person, hvorimod via fuldmagten, der kan du gå ind på en hvilken som helst person og oprette en fuldmagt. Så der ligger altså en begrænsning i, at man skal være oprettet i personbogen,« siger han.
Men hvorfor i alverden ikke også bare lægge personbogen ind bag NemID? Jo, den går ifølge Søren Sørup Hansen ikke ifølge loven. Nærmere bestemt paragraf 22 i bekendtgørelse nummer 213 af 15/3 2011 om tinglysning i personbogen. I paragraffen står der:
'Anmodning om oplysninger fra og udskrift af personbogen skal angive den pågældendes CVR-nummer eller navn og fødselsdato eller navn og personnummer.'
Det betyder ifølge Søren Sørup Hansen, at det skal være muligt for enhver - også dem, der ikke har NemID - alene ved at indtaste cpr-nummer og navn at slå en person op i personbogen for eksempelvis at finde ud af, om personen har taget pant i sin cykel.
»Tinglysning er offentliggørelse, det skal være offentlig tilgængeligt for enhver, også uden at man kræver, at folk logger sig på. Det vil sige, at mennesker i andre lande, eksempelvis i Tyskland, skal have mulighed for at se, hvad der gælder i Danmark. Det er idéen med tinglysning, det er den der offentliggørelse,« siger retspræsidenten.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
