Gift? Arbejdsløs? Død? Virksomheder kan få adgang til dine persondata via ukontrollerede CPR-abonnementer

Gift? Arbejdsløs? Død? Virksomheder kan få adgang til dine persondata via ukontrollerede CPR-abonnementer
Illustration: digitalista/Bigstock.
Virksomheder kan få adgang til flere personfølsomme data ved at abonnere på en borgers CPR-oplysninger. Men CPR-kontoret holder sig ikke løbende orienteret om, hvilke præcise data virksomheder tager fat i, eller hvad de bliver brugt til.
20. januar 2020 kl. 05:01
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hvis du er kunde, ansat eller på anden måde involveret med en virksomhed, kan denne virksomhed og eventuelle samarbejdspartnere tegne et såkaldt personabonnement på dine oplysninger.

For virksomheder betyder et personabonnement, at de løbende og potentielt i årevis bliver informeret og opdateret om en borgers CPR-oplysninger såsom udrejser, stilling på arbejdsmarkedet, navne- og adresseoplysninger samt information om, hvorvidt en person er gift, skilt eller enlig – og om et eventuelt dødsfald.

Når abonnementet er tegnet, opdateres disse oplysninger løbende, og for eksempelvis banker og forsikringsselskaber kan disse oplysninger være nødvendige for, at de kan arbejde sammen med deres kunder.

Men ikke alle steder er behovet for alle disse oplysninger lige tydeligt.

Ingen virtuelle fotofælder

CPR-kontoret fører ikke kontrol med, om virksomheder bruger informationen fra folks CPR-oplysninger til det formål, som de oplyser. CPR-kontoret hører under Social- og Indenrigsministeriet og har ansvaret for driften af Det Centrale Personregister

CPR-kontoret kontrollerer heller ikke, om virksomheden fortsat abonnerer på en persons oplysninger, hvis eller når abonnementet har udtjent sit saglige formål. Formålet kan eksempelvis være udtjent, når en person ikke længere er kunde hos virksomheden eller virksomhedens samarbejdspartner.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
20
22. januar 2020 kl. 16:20

Når abonnementet er tegnet, opdateres disse oplysninger løbende, og for eksempelvis banker og forsikringsselskaber kan disse oplysninger være nødvendige for, at de kan arbejde sammen med deres kunder.

Hvorfor er det nødvendigt? Mine banker sender ikke fysiske breve til mig. Og jeg kan godt selv finde ud at meddele flytning til mit forsikringsselskab.

Er det ikke snarere "nice to have"?

18
22. januar 2020 kl. 07:09

Schelbeck-Pedersen skriver "Husk at CPR-numre, og adresse ikke er følsomme personoplysninger i lovens forstand"

CPR-lovens § 54 stk 1, første sætning: "Offentlige myndigheder skal sørge for, at personnummer ikke kommer uvedkommende i hænde."

Så CPR nummer er beskyttet i CPR loven, når det er en offentlig myndighed, der anvender det. Folketinget har betragtet CPR nummeret som følsomt.

Når private anvender CPR nummeret er det ifølge Datatilsynets offentliggjorte afgørelse beskyttet.

Kendelse fra Datatilsynet "Tilsyn med behandlingssikkerhed hos fagforening" Publiceret 05-11-2019. I resumeet står at:

"Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Krifa har overtrådt databeskyttelsesforordningens artikel 32 ved at anvende personnummeret på den person, som e-mailen vedrører, som password til læsning af en e-mail, der er lagret på virksomhedens sikre webtjeneste til læsning af e-mail." (min fremhævelse)

Fagforeningen har fået et påbud om at ophøre med brugen af CPR nummer som password.

"Datatilsynet skal endvidere meddele Krifa påbud om at ophøre med at benytte personnummeret på den person, som en Sikker@Mail til læsning på webserver vedrører, som password til læsning af e-mailen." (min fremhævelse)

Datatilsynet betragter personnummeret som en personoplysning, som det kan ses af sammenfatningen:

".... at Krifa ikke må basere fortroligheden af personoplysninger der behandles, på personoplysninger i sig selv, herunder ved fx at bruge personnummeret som adgangsgivende faktor til de registrerede oplysninger." (mine fremhævelser)

Det er kryptisk udstrykt, men der står at personnummeret er en personoplysning og dermed er en fortrolig oplysning,

Jeg kan ikke være uening med Datatilsynet.

GDPR definerer i artikel 4, stk 1, punkt 1 personoplysninger (der skal beskyttes) som

" »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator ... " (min fremhævelse)

Her er eksplicit nævnt "identifikationsnummer", som et personnummer er. Så CPR Nummeret er beskyttet i GDPR.

Her er eksplicit nævnt "lokaliseringsdata", som en adresse er. Så adressen er også principielt beskyttet i GDPR.

At adressen så i praksis som hovedregel ikke er beskyttet fordi vi har en masse lovgivning, der kræver at vi skal udlevere adressen (for eksempel til banken, der skal rapportere adressen til Skattevæsenet, hvis du har værpapirdepoter) er så en anden sag.

17
21. januar 2020 kl. 17:31

Efterhånden som myndigheder overgår til at anvende den fælleskommunale Serviceplatform eller den fællesoffentlige Datafordeler er der nu flere steder hvor borgeres data udstilles. Der er sikkert ingen mulighed for for borgere at se hvilke myndigheder der trækker data her via enkeltopslag eller abonnement. Potentiale for mere transparens.

16
20. januar 2020 kl. 23:01

Problemerne med at anvende "køre for stærkt" er at der er adskillige meningsforstyrende forskelle: Et eksempel er at der netop er stikprøve-kontrol af hastigheder og argumentet allerede der falder helt til jorden! At det at "køre for stærkt" samtidig er let at kontrollere for den enkelte bilist og dermed let at undgå, går også imod sammenligningen!

Misforstå mig ret: I udgangspunktet er det nær umuligt for andre end den enkelte at gennemskue, endsige undersøge, om der føres uberettigede abonnementer i CPR. Men så længe det kræver en ret stor og indviklet indsats (som også denne tråd afslører) for alle parter at undersøge, er det nok nærmere den digitaliserede præries mangel på skiltning der gør at ingen aner om nogen kører for stærkt: Standardkontrakter til samtykker og samarbejdsaftaler, et overblik over abonnenter til hvert nummer og en gennemskueliggørelse af abonnementernes formål og effekt, er svære at komme udenom at kommunikere videre til den tilsynsførende (I dette tilfælde den enkelte), hvis man skal gøre det så gennemsigtigt at "tortfeaserne" på data-prærien kan sammenlignes med vejens cowboys. :)

15
20. januar 2020 kl. 16:25

Man burte jo indfør et databrev, mindst engang om året skal virksomheder som har ens data sende et brev hvor i derstår hvad for data de har om en, hvad denne data bruges til, og hvorfra de har denne. Det skal selvf udformes sådan at det bliver en byrde for dem som ligger inde med den slags data, så de sørge for kun at ha den slags ligende hvis der er brug for det, og de på den en eller anden måde får nogen penge ind på det, som det er nu kan alle og enhver bare ansamle ubegrænset mængter data inden for det som enten person forordnings giver tillades til eller hvor dansk lovgivning har taget sig den frihed og slække eller helt se bortfra forordningen.

14
20. januar 2020 kl. 13:17

Jeg har i det meste af mit arbejdsliv haft med systemer som har CPR-abonnementer at gøre (og har det stadig)

Jeg kan bare sige, at der formentlig er få steder, hvor modsætningsforholdet mellem IT-drift og IT-sikkerhed er mere tydeligt.

Man skal nok gøre sig klart, at CPR-kontoret - ligesom man selv som privatperson - vil have meget vanskeligt ved at gennemskue, om et abonnement er legitimt eller ej. At insistere på at de påtager sig ansvaret for denne opgave, vil efter al sandsynlighed være dyrt og fungere dårligt.

Og gives man med GDPR-lovgivningen adgang til selv at tænde og slukke for virksomheders og myndigheders adgang til at abbonnere på ens CPR-data, kan man nemt havne i en situation, hvor man får slukket for noget, som kan have alvorlige konsekvenser.

13
20. januar 2020 kl. 13:05

Husk at CPR-numre, og adresse ikke er følsomme personoplysninger i lovens forstand.

Det er dog for mig fuldstændig uforståeligt, at vi i danmark stadig bibeholder CPR-nummeret, som eneste person identifikation, da det

  1. Indeholder fødselsdag
  2. Kan bruges til at identificere køn
  3. Kan, i visse tilfælde, bruges til at se om man er adopteret
  4. Skiftes ud ved kønsskifte
12
20. januar 2020 kl. 12:48

hvor kan man klage og få staten til at slette ens oplysninger

Tvivler meget stærkt på at du får staten til at slette dine oplysninger.

Men i forhold til CPR-abonnementer har du jo mulighed for at kontakte de forskellige virksomheder der abonnerer og bede om at de sletter dig fra deres systemer og stopper abonnemtet jf. GDPR "Right to be forgotten". Dog kan det sagtens være at det i InsightOne Nordic AB's tilfælde vil kræve at du samtidig beder SAS slette dit EuroBonus medlemskab.

Så længe de virksomheder der abonnerer på CPR kun abonnerer på adresseændringer, og at det samtidigt er virsomheder hvor jeg aktivt er kunde eller kunde hos deres kunder, kan jeg ikke helt se problemet da jeg ikke har hemmelig adresse og jo kan findes i De Gule Sider / Krak. Men det er da klart at hvis jeg havde hemmelig adresse vil det være en anden sag.....

10
20. januar 2020 kl. 12:16

Mig bekendt er det kun et fåtal af virksomheder – forsikringsselskaber, banker, pensionskasser mv. – der har adgang til at se folks civilstand i CPR. Se CPR-loven § 38, stk. 1-3.

Det fremgår ikke udtrykkeligt af artiklen, men jeg går ud fra, at CPR-kontoret ikke deler oplysninger om civilstand med andre virksomheder end disse.

8
20. januar 2020 kl. 12:04

Ja - Eurobonus ved SAS kunne være svaret. Det er dog stadig et svensk firma og Sverige er udlandet.

I gamle dage skulle man selv melde flytning til dem man nu syntes skulle have det at vide. Jeg forstår simpelthen ikke hvordan den danske stat kan agere mellemmand for dette, og uden mit vidende og samtykke. Jeg føler mig oprigtigt magtesløs. Jeg har forsøgt at undgå sociale medier og har slået "placering" fra på telefonen for at undgå at give oplysninger om mig selv...... og så viser det sig at den danske stat der egentlig skulle beskytte mig, deler hæmningsløst ud af mine personlige data for betaling. Staten er så ikke bedre end facebook, og man har intet helle længere. hvor kan man klage og få staten til at slette ens oplysninger

7
20. januar 2020 kl. 12:00

Fin artikel og gode kommentarer, men hvad med et direkte link til en "selvundersøgelse" af hvem der abonnerer på ens eget cpr nr.

6
20. januar 2020 kl. 11:50

InsightOne Nordic AB har også at abonnement på mig. Kunne passe meget godt med at jeg også er EuroBonus medlem hos SAS. Dog abonnerer de kun på adresse og ikke via PNR.

5
20. januar 2020 kl. 11:45

Du kan evt. søge indsigt i hvilke oplysninger de har på dig og hvorfor de abonnerer på dig gennem gdpr@insightone.se.

Et hurtigt kik på Insigtone.se viser at de har kunder som Coop (måske kun den Svenske Coop), SAS, Telia m.fl. Kunne det tænkes at du f.eks. er EuroBonus medlem og at SAS benytter dem til at vedligeholde din adresse?

Blandt tilgængelige oplysninger er også et punkt der hedder "folkekirkeforhold". Jeg kan forstå at skattevæsenet har brug for denne oplysning for at taksere min skattebetaling rigtigt, men får andre også denne oplysning ??

Man kunne ønske at der var en mere striks kontrol og en mere differentieret adgang, så virksomheder der abonnerer på CPR kunne nøjes med f.eks. at få adgang til adresse- og navneændringer, at det ville kræve en ekstra ansøgning / tilladelse / gebyr og kontrol ved adgang til info som køn, alder, børn, folkekirke m.m.

4
20. januar 2020 kl. 11:27

Jeg checkede mine registreringer og kan se jeg er overvåget af et svensk firma - InsightOne Nordic AB. Det lader ikke til at dette firma har en dansk afdeling Jeg aner ikke hvad firmaet har for og hvofor de er interesseret i mig, men kan konstatere at mine data er blevet solgt af den danske stat til udlandet. Det er bare ikke i orden.

Blandt tilgængelige oplysninger er også et punkt der hedder "folkekirkeforhold". Jeg kan forstå at skattevæsenet har brug for denne oplysning for at taksere min skattebetaling rigtigt, men får andre også denne oplysning ??

3
20. januar 2020 kl. 09:08

Efter artiklen i december kontaktede jeg nogle af dem der har et abonnement på mit CPR-nummer og som jeg ikke umiddelbart mener bør have behov for at abonnemere på mit CPR-nummer.

Svaret fra Forsvarsministeriets Personalestyrelse:

Da du ikke har oplyst din fødselsdato, måned og år eller din adresse, har jeg ikke kunne finde dig i vort register over værnepligtige.</p>
<p>Jeg kan dog oplyse, at værnepligtige menige som har aftjent værnepligt hos Beredskabsstyrelsen, og værnepligtige der har trukket ”frinummer” jf. Bekendtgørelse af beredskabslovens § 54 står til rådighed for redningsberedskabet indtil udløbet af det år, i hvilket de fylder 50 år.</p>
<p>Hvis du ikke er fyldt 50 år, så er det grunden til at du stadig står registreret med et ”personabonnement” i CPR, som ikke vil blive slettet, før du ikke længere står til rådighed for redningsberedskabet.

Svaret fra Postnord:

i bekræfter hermed, at vi har slettet din profil på ePosthuset og alle data, som var tilknyttet kontoen. Det betyder også, at du ikke selv kan tilgå ePosthuset, som du før har kunnet fra postnord.dk</p>
<p>Vi har vedhæftet de oplysninger, som vi har om dig i vores Modtagerdatabase. Af bilaget fremgår følgende:</p>
<ul>
<li>Oplysninger om navn og adresse. Registreringen viser, at du er registreret på adressen XX XX fra 20. juli 1994 (okay, flyttede til den adresse i august 2018....) (angivet som ”Adresse fra”)</li>
<li>Adressen er enten uofficiel eller officiel (angivet som ”Modtagertype: UOFF eller OFF”), hvilket betyder, at der er tale om henholdsvis midlertidig eller varige adresse</li>
<li>Markering af, om der er adressebeskyttelse eller ej (N for nej og J for ja)</li>
<li>Angivelsen ”Adresse fra:” angiver den periode, hvor adressen har eksisteret i databasen.</li>
<li>Oplysningerne stammer enten fra fysiske flytteblanketter indsendt af dig til PostNord eller fra CPR-registeret. Data i systemet slettes automatisk efter 18 måneder.</li>
</ul>
<p>Oplysningerne i Modtagerdatabasen anvendes af PostNord til sortering af post og pakker, registrering af flytninger og overblik over eventuelle ydelser, fx tilmelding til ordningen Nej Tak til Reklamer eller Modtagerflex. De nævnte data bliver ikke videregivet til andre.</p>
<p>PostNord har som befordringspligtig postvirksomhed pligt til at befordre en lang række postforsendelser, og for at sikre den bedst mulige postbefordring, har PostNord i Danmark, jf. § 13 i Postloven lov til oprette og anvende en modtagerdatase. Databasen omfatter postmodtagere, som PostNord er forpligtet til at sikre postbefordring, herunder dig.

Kontaktede også Københavns Kommune, men de ønsker at få oplyst mit CPR-nummer via en besked i e-boks eller telefon før de kan sige hvorfor de abonnerer på mit CPR-nummer....

2
20. januar 2020 kl. 08:31

Carsten Grage, der er Kontorchef hos CPR-kontoret, understreger, at virksomheder skal overholde databeskyttelsesloven

Dette krav gælder også CPR-kontoret.

1
20. januar 2020 kl. 06:31

Whataboutisme eller bare utroligt dårligt eksempel. Håber den for konsekvenserne det på ingen måde sikker omgang med borgers personfølsomme data! »Man kan jo også køre for hurtigt i bil, selvom man ikke må,« siger Carsten Grage.

Jeg skal da også søge adgang til hvem der har adgang mine data. Bare fordi...