Digitaliseringsstyrelsen i ny supportbrist: Send dit CPR-nummer på e-mail

jeg mener at vi skal have gjort op med at cpr-nummeret er en sikker identifikation hvis vi skal komme nogen steder i dette her it-land. Cpr er så nem at knække at det gør helt ondt at tænke på at det bliver brugt til identifikation i forskællige it-systemer. Mange danskere har en facebook profil hvor deres fødselsdato står, det er kun 4 cifre der afholder mig fra at bryde denne "kode". Der er kun ca 540 mulige kombinationer per år plus at hvis personen er født før 2007 kan man tjekke om man har fået det rigtige med modulus 11 kontrol(1).

Har du et personnummer kan du ændre addresse hos post danmark. derpå kan du få nyt sygesikring for 500kr, nyt pas, nyt kørekort, ny konto i en anden bank, nyt konto kort osv.

Der er sku noget galt i Danmark når alt dette kan anskaffes bare man har en anden persons løbenummer/personnummer.

[1] http://da.wikipedia.org/wiki/CPR-nummer

Den nemmeste løsning er offentliggørelse af alle CPR-numre. Det skulle selvfølgelig varsles i passende tid, men en under en passende pressedækning kunne man offentliggøre alle navn-CPR par. Dette ville sikre at alle forstod at CPR-nummeret udelukkende er et unikt ID og at kendskab til dette ikke kan identificere nogen.

Jeg kan som udviklingschef undrer mig over, at hver gang der sker en procedurefejl indenfor de offentlige IT-relaterede projekter, så skyder de ansvarlige på deres egne supportere eller på software og program.

Det er et problem af dimensioner, taget i betragtning af at Danmark som helhed forventes at være et papirløst samfund om få år!

Pr. definition skal software og programmer være udformet således at

”Selve udviklingen af offentlige IT-projekter skal medføre en væsentlig minimering af menneskelige fejl i det daglige brug”

Samt at ovenstående har topprioritet i kravspecifikationen og det løbende udviklingsarbejde.

Der kan ikke herske tvivl om, at der altid vil være risiko for menneskelige fejl, når programfejl kræver menneskelig indgriben.

Problemet er alt for stort, fordi de ansvarlige (dvs. Christiansborg og den økonomiske elite) åbenbart ikke er istand til at definere en strategi omkring KVALITETEN af de programmer og software som hele denne digitalisering skal bygges på.

Det må være klart for enhver, at en manglende eller måske elendig kravspecifikation, danner grundlaget for ekstreme fejlberegninger begået både af den ansvarlige udviklingsvirksomhed, men sandelig også de enkelte udviklingsteams.

En anden af de meget kritiske fejl, er de overbebyrdede og/eller uerfarne projektledere, der ikke har en kinamands chance for at levere et kvalitets produkt, alene fordi de ikke får den fornødne tid til at tjekke det udførte arbejde kontinuerligt - og dette KUN fordi mange af de ansvarlige lider af en dræbende spareiver.

Hvis det danske samfund skal kunne bruge digitaliseringen optimalt, skal denne spareiver begrænses og istedet afløses af ansvarlig udvikling FØR projektet kommer forbi skitseniveau. Derved opnås, at det samlede projekt får en helt anden fokus og at de ansvarlige SKAL være i stand til at dokumentere at en given besparelse IKKE har negativ indflydelse – og ikke mindst at denne dokumentation kan danne grundlag for efterfølgende placering af ansvar.

Jeg siger IKKE at Nemkonto, NemId eller Rejsekortet skal skrottes – slet ikke! Men lad os da for søren bruge vores menneskelige resourcer og knowhow på at udvikle highclass IT-projekter, frem for disse tredjerangs bambus løsninger.

Mvh Lars plbrake.dk

ikke har personnumre i Tyskland...

Jeg kontaktede v2 af flere grunde, og jeg synes faktisk ikke at det største problem med det hele var at den flinke supporter ville hjælpe mig hvis jeg sendte mit CPR-nummer. Det er selvfølgelig ikke i orden. CPR-numre burde ikke være følsom data som Jonas på diplomatisk vis skriver, men det er de desværre.

Men jeg kan STADIG ikke logge på nemkonto.dk, som vel at mærke har flinke supportere siddende 16 timer om dagen på alle ugens dage. Det kan vel for pokker ikke være billigt.

Hvorfor skal jeg så se denne side første gang jeg logger på (den har jeg set tit nu):http://balker.dk/nem1.png

Det er sgu pinligt at den slags lækker ud til brugerne igen og igen.

Og bagefter, når jeg prøver at logge på igen (via "Log ind på selvbetjening" på forsiden af nemkonto.dk), får jeg den korrekte side fra "DET OFFENTLIGE LOG-IN-FÆLLESSKAB" (som har virket fint for mig på andre services). Men efter jeg har logget ind i nemid-appletten på den side, sendes jeg bare til http://www.nemkonto.dk/Selvbetjening uden at være logget ind.

Problemet er at nemkonto.dk er DYR at drive (Supportere 7-23 ALLE dage?!? Hvilken anden hjemmeside har det?), og har sikkert været DYR at udvikle. Og jeg kan ikke bruge den. Og jeg har fortalt det til support. Der ikke har givet mig en løsning, og jeg er ikke blevet kontaktet af nogen for flere oplysninger, hvis de ikke kan reproducere problemet.

Til gengæld skrev supporten også i det svar Theis tog med i artiklen, "Det kan med mellemrum forekomme at man ikke kan logge på". Det er fiseme ikke godt nok, KMD. Og det er ikke "med mellemrum". JEG KAN SLET IKKE LOGGE PÅ.

I det mindste har jeg da fået brugt en solid bunke nemid nøgler på det her sjov indtil videre.

CPR er IKKE følsom data!!!! Dét der er kritisabelt er at der er nogen der tror det ér, og bruger CPR som såden! HØR NU HER.....DIG SOM LÆSER DETTE......DER ER FLERE TUSINDE MENNESKER I DANMARK DER HAR ADGANG TIL DIT CPR-NUMMER, såsom ansatte i de organisationer, virksomheder og myndigheder som gemmer dit CPR! Det er der overhovedet ikke styr på! Og det er alstå almindelige mennesker, som hverken har bedre eller dårligere moral end nogen anden! Desuden kan du bare gå i en hvilken som helst skraldespand og finde et brev med CPR-nummer på.

WAKE-UP!

Måske er han urutineret, men han er YDERST velformuleret. Med høflige fraser, korrekt tegnsætning og det hele. Mangt en supporter ville ha nøjes med "prøv at sende mig dit cpr så tjekker jeg lige...". Man kunne få den mistanke at der er tale om standardformuleringer, og ikke bare en tilfældig utrænet (men velskrivende) supporter...

og denne fejl, og andre endnu mere graverende sikkerhedsfejl vil i al fremtid komme igen igen igen igen igen ..... Og hvor mennesker ikke er indblandet, vil de ske alligevel, fordi alle maskiner og systemer har deres oprindelse fra mennesker - og kompleksiteten skal ikke være ret stor, før overblikket bliver begrænset. Problemet med digitaliseringen er, at konsekvenserne af tilsyneladende bagatelagtige fejl eller mangelfuld omhu kan blive meget voldsomme og svære at rette op på efterfølgende. Og som vi er ved at indrette vores samfund for tiden med pålagt digitalisering, ofte på et tyndt forberedt grundlag, vil den enkelte ind imellem måtte påregne at komme stå i en Kafkask situation, uden at der er noget at gøre ved det - hovedsageligt fordi de, som burde gøre noget ved det, ikke aner, hvad de skal stille op, og fordi de, som kan gøre noget ved det, ikke er tilgængelige.
Må man nævne eksempler som digital tinglysning, indefrysning af digitale boer, så de efterlevende står uden oplysninger eller hvad med Skat's aktieregistreringssystem.

..at kunden skal sende sit CPR nummer via mail ???

Han forklarer hændelsen som en menneskelig fejl og begrunder den med, at den pågældende supportmedarbejder 'ikke er superrutineret'.

For at forstå at CPR-oplysninger, er følsomme data?

Det er vel regel nr. 1, i denne sammenhæng.

Hvor svært kan det være at formidle en håndfuld du-må-alrig-regler? (bede om brugerens cpr-nr pr. e-post, bede om brugerens adgangskode, etc.)

Supporteren prøvede at være hjælpsom, og bliver nu beskyldt for at være urutineret. Ynkeligt.

Kunne være interessant at vide hvordan KMD oplærer deres supportere.