Enhedslisten om kæmpe cpr-læk: 'Samtlige 900.000 er nu i risiko for at få deres identitet misbrugt'

3. juli 2014 kl. 11:3211
Reaktionerne på det enorme cpr-læk er højlydte. Blandt andet mener Enhedslistens Pernille Skipper, at det bør tjene som et wake up call for en afskaffelse af cpr-nummeret.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Det er en kæmpe fejl, som kan have alvorlige konsekvenser for de 900.00 danskere, der er på Robinsonlisten. De er allesammen i risiko for, at deres identitet kan blive misbrugt.«

Sådan siger Enhedslistens retsordfører Pernille Skipper i en pressemeddelelse, efter nyheden om, at CPR-kontoret ved en fejl sendte den såkaldte Robinson-liste ud med cpr-nummer og navn og adresse på 900.000 danskere, der har bedt om beskyttelse mod reklamehenvendelser.

Hun mener, at det bør være et wake up call for indenrigsministeren, som bør afskaffe cpr-nummeret som ID. En holdning, der ikke er ny i Enhedslisten, men som Pernille Skipper nu vil følge op på med et samråd. Ikke kun for at afklare, hvordan det kunne ske, men især for at få løsninger på bordet.

»Det går ikke længere, at regeringen blot lapper på problemerne omkring cpr-systemet,« siger hun.

Artiklen fortsætter efter annoncen

Pernille Skipper efterlyser i stedet, at vi får et officielt ID-kort, som kan spærres, hvis det mistes.

Også andre politikere reagerede hurtigt på nyheden og tweetede om det. Hos Venstre mener it-ordfører Michael Aastrup, at hele systemet nu skal have et sikkerhedstjek:

»Helt uacceptabelt at 900.000 CPR nr har været lagt frem på nettet. Sikkerheden om hele CPR systemet bør nu vurderes, når det kan ske,« tweetede han.

Og Trine Bramsen, retsordfører hos Socialdemokraterne, tweetede om hvordan den slags uheld understreger, at CPR-nummer ikke skal kunne stå alene, når man for eksempel vil låne penge.

Artiklen fortsætter efter annoncen

»Og netop derfor må CPR-nummeret aldrig alene kunne bruges som legitimation ved handler, optagelse af lån m.v.« skrev hun.

Brugen af cpr-numre har været til diskussion i årevis, men fik ekstra ild for nyligt, da først hackere offentliggjorde cpr-numre for SF's politikere i Folketinget, og en aktivist dernæst offentliggjorde cpr-numre for ministre og andre politikere, der havde stemt ja til loven om Center for Cybersikkerhed.

Det er nemlig ikke svært at regne sig frem til en persons cpr-nummer, hvis man kender fødselsdagen, men det er alligevel strafbart at offentliggøre andre personers cpr-nummer, ligesom det i nogle sammenhænge bliver brugt som en 'hemmelig oplysning', for eksempel når man ønsker at spærre sit betalingskort.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
3. juli 2014 kl. 13:06

der kan få tiden til at gå de næste par år, til folk har glemt det her. Det er rigtigt, at personnummeret er og kun bør være et ID, ikke en legitimation. Men det kan åbenbart bruges på "andre måder". Faktisk kom jeg selv på omtalte robinsonliste blot ved at sende en mail med mit personnumer til kommunen.

Noget andet er, hvordan pokker den misere er sket? Har man et fast program, reviewet og kvalitetssikret, der laver udtrækket? Eller sidder der en stresset m/k og laver en adhoc sql query og så kommer til at skrive select * i stedet for de specificerede felter, som det plejer at være?

ISO-9000++ er godt nok i teorien. I praksis skal tingene bare være færdige til tiden. Frygter jeg.

9
3. juli 2014 kl. 13:05

Stands identitetstyverierne nu!

Som systemet med CPR-nummeret er nu, svarer det til at man kan logge ind i andre folks mailboks hvis man bare kender deres email-adresse. Der skal selvfølgelig en form for adgangskode (autentificering eller "underskrift") til, før man kan anvende et CPR-nummer til at indgå en bindende aftale.

Hvis man ændrer systemet så der kræves autentificering for at kunne anvende et CPR-nummer til at indgå en bindende aftale, sker der ikke noget som helst hvis et givet CPR-nummer er offentligt kendt. Det er sådan set yderst praktisk som f.eks. kundenummer eller anden identifikation overfor andre, men bør ikke kunne anvendes alene til at indgå en bindende aftale.

For at dette kan lade sig gøre, skal Christiansborgpolitikerne vækkes af deres Tornerosesøvn, så vi kan få ændret lovgivningen på området nu!

http://www.facebook.com/cprnummerhttp://www.skrivunder.net/cprnummer

7
3. juli 2014 kl. 12:37

Kan nogen fortælle mig hvordan kendskab til mit cpr nummer kan misbruges? Jeg er ikke spydig, sarkastisk eller lignende, derimod bare nysgerrig.

Hvis du poster dit cpr-nummer i denne debattråd så kan jeg godt lave nogle hurtige rundringninger til bank, realkredit, forsikringsselskab, borgerservice, praktiserende læge, teleselskab hvor jeg giver mig ud for at være dig og så vender jeg tilbage her i tråden og skriver hvad jeg har fået at vide om dig under telefonsamtalen.

4
3. juli 2014 kl. 12:17

Kan nogen fortælle mig hvordan kendskab til mit cpr nummer kan misbruges? Jeg er ikke spydig, sarkastisk eller lignende, derimod bare nysgerrig.

Ved oprettelse af lån, køb af bil osv. har jeg altid skulle vise identifikation. Hvis jeg går ned i hifi-klubben eller B&O har jeg ikke tidligere i hvert fald kunne betale med cpr nummer alene.

11
3. juli 2014 kl. 13:49

Man har før i tiden, kunne hæve fra sin bank, blot ved brug af CPR-nummer. Om det stadig er muligt, ved jeg dog ikke. Man skulle simpelthen blot gå ind til kassen og sige man havde glemt sit kort. Dernæst spurgte de blot om CPR-nummer og underskrift bagefter.

..er det muligt at gøre endnu; så ville det da være rimelig nitte at støde ind i.

8
3. juli 2014 kl. 12:51

Kan nogen fortælle mig hvordan kendskab til mit cpr nummer kan misbruges? Jeg er ikke spydig, sarkastisk eller lignende, derimod bare nysgerrig.

Med dit CPR-nummer kan man gøre følgende: Finde en bolig i nærheden, som står tom. Downloade og udfylde en flyttemeddelelse med adressen på den tomme bolig. Vente på at det nye Sygesikringskort ganske automatisk ankommer til den nye adresse. Når det kommer, tager man det med til det nærmeste kirkekontor, og får lavet en ny dåbsattest.

Nu har man, hvad man skal bruge til at få et nyt pas og eventuelt kørekort. Herefter udfylder man endnu en flyttemeddelse, hvor man flytter adressen tilbage igen til din adresse. Da man har pas og kørekort - som begge er gyldige som dokumentation, behøver man ikke sygesikringskortet, med den forkerte adresse på.

Det kan man så gøre, når du er taget på sommerferie, hvilket man lige tjekker på facebook.

6
3. juli 2014 kl. 12:26

Du kan bruge CPR nummeret som et start sted for at bygge en ny identitet, eller kopiere en allerede eksisterende. Du kan ikke betale med CPR, men du kan identificere dig med kørekort (gen-udstedt på baggrund af CPR), samt oprette kredit aftaler.

Det er flere år siden det blev dokumenteret (Kontant på DR måske?) hvordan du kan starte med et lånekort til biblioteket, få CPR, gå på kommunen og få udstedt dåbsattest osv.

5
3. juli 2014 kl. 12:24

Et lån du kan få telefonisk på 15 minutter kan næppe være baseret på særligt meget identifikation...

3
3. juli 2014 kl. 12:08

Jeg er ikke så bekymret for direkte misbrug - det må efterhånden være let nok at dokumentere at jeg ikke har skrevet under med min underskrift på et stykke papir eller via NemID, så derfor tror jeg ikke at en kontrakt nogen har indgået via mit CPR nummer holder juridisk. Derimod, så er jeg ret bekymret for at hvis firmaet, der har lavet en kontrakt udelukkende med mit CPR nummer, skulle finde på at sende mig til RKI - det forestiller jeg mig kan have ret voldsomme konsekvenser, men det er baseret på at jeg ikke har nogen ide om hvilken form for dokumentation der skal bruges for at en virksomhed kan anmelde en til RKI hvis overhovedet nogen?

2
3. juli 2014 kl. 12:03

som bør afskaffe for cpr-nummeret som ID

CPR er et udmærket id, cirka lige så godt som navn + adresse. Oplysning af cpr bør så også kun give samme adgang som navn + adresse.

1
3. juli 2014 kl. 11:55

Helt uacceptabelt at 900.000 CPR nr har været lagt frem på nettet. Sikkerheden om hele CPR systemet bør nu vurderes, når det kan ske

Det skib er sgu sejlet kammerat. Alle fangerne er flygtet og ordføreren vil have lavet et sikkerhedstjek? Ja, der er hul i muren. Nej, vi aner ikke hvor de er. Sådan, tjek færdigt, kan vi så snart få noget seriøs handling bag den inkompetente sludder?