Ingeniørforeningen: Afskaf CPR-nummeret

Illustration: Region Hovedstaden
CPR-systemet er ikke sikkert nok, mener Ingeniørforeningen IDA, som vil erstatte systemet med en nøgleordning, der giver borgeren mere kontrol over sine egne data.

Sikkerheden er for slap i CPR-systemet. Det mener digitaliseringsudvalget i Ingeniørforeningen IDA, som har undersøgt CPR-systemet og i en ny rapport konkluderer, at systemet bør ændres. Det skriver IDA.

»CPR-systemet spiller hasard med borgernes sikkerhed. Det er teknologisk forældet og udgør i dag en sikkerhedsrisiko,« siger Jørn Guldberg, som er it-sikkerhedsekspert i IDA, i en pressemeddelelse og fortsætter:

»Engang var det nøglen til, at Danmark har været et it-foregangsland, som mange gennem tiden har misundt os – men det har udlevet sig selv og er i dag en anakronisme, der misbruges til samkøring af data om borgere, som er George Orwells forudsigelser om totalitærstaten værdig.«

CPR-systemet har tidligere været genstand for kritik, blandt andet da CPR-kontoret ved en fejl lækkede 900.000 CPR-numre i 2014.

IDA: Nøglesystem i stedet for CPR

Identitetstyveri og cybertruslen fra hackere er blevet så alvorlig, at IDAs digitaliseringsudvalg ikke længere finder CPR-systemet sikkerhedsmæssigt forsvarligt. Lige nu kan offentlige myndigheder desuden sammenkøre personfølsomme data via CPR-systemet, uden at borgeren ved det.

Derfor mener IDA, at der skal findes en ny og sikrere løsning, som skal erstatte CPR-systemet. De anbefaler et system med forskellige nøgler i forskellige systemer, hvor borgeren selv har kontrol over, hvem der får adgang til hvad.

Politikere åbne for at drøfte CPR

Retsordførere fra Enhedslisten, DF og Alternativet er åbne for en diskussion af det nuværende system. Det skriver Jyllands-Posten, som også har forsøgt at kontakte de andre partiers retsordførere, dog uden held.

I Enhedslisten foreslår retsordfører Rosa Lund, at der bliver nedsat en arbejdsgruppe til at kigge på, hvordan man får et sikrere system.

»CPR-nummeret er ikke sikkert nok. Der har været så mange lækager, at vi bør droppe CPR-systemet. Det er for nemt at misbruge og få adgang til folks identitet. Vi bør gentænke systemet,« siger hun til Jyllands-Posten.

Dyr omlægning

Formanden for Rådet for Digital Sikkerhed, Henning Mortensen, fortæller, at der vil være sikkerhedsmæssige fordele ved at ændre systemet, men understreger samtidig, at en sådan omlægning vil blive dyr.

»Man kan meget let gøre ting i andres navn, hvis man kender deres CPR-nummer. Derfor vil det være langt mere sikkert at erstatte det med en digital nøgle, men det vil blive meget dyrt, hvis man skulle gøre det, for der vil være mange systemer, der skal redesignes,« siger han til Jyllands-Posten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (66)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl Hansen

“De anbefaler et system med forskellige nøgler i forskellige systemer, hvor borgeren selv har kontrol over, hvem der får adgang til hvad.”

Der findes idag personer som ikke er tilmeldt eboks / digital post at forskellige grunde, hvis man ikke kan håndteres at logge på eboks hvorfor skulle man så kunne håndterer dette multi nøgle system

Hvis nu man indser at CPR numre ikke er superhemmelige,men bare er en nummerplade til mennesker

  • 39
  • 4
Kenn Nielsen

Der findes idag personer som ikke er tilmeldt eboks / digital post at forskellige grunde, hvis man ikke kan håndteres at logge på eboks hvorfor skulle man så kunne håndterer dette multi nøgle system


Nu kan det være at én af de 'forskellige grunde' er at konceptet - på væsentlige punkter - er ringere end papirpost.
For mit vedkommende vil jeg hellere have langsom snail-mail med posten end "omgående levering i min E-box", - fordi jeg ikke ønsker at afsenderen kan gå ud fra jeg har læst mailen i selvsamme øjeblik afsenderen har trykket 'send'.
Jeg vil hellere have langsom snail-mail med posten end "omgående levering i min E-box", - fordi jeg ikke ønsker at afsenderen kan rette i dokumentet efter jeg har læst det
NemID er noget 'klyt' der falsk markedsføres som >>digital signatur<< når det i virkelighenden er Nets, der ejer et faksimile-stempel med din underskrift, som de lader dig få lov til at tillade Nets at stemple med, efter du har logget dig ind med din NemID.....

Lad os få noget som er 'rigtigt'.

K

  • 21
  • 4
Torben Mogensen Blogger

Hvis nu man indser at CPR numre ikke er superhemmelige,men bare er en nummerplade til mennesker

Netop. Man burde lave en (online) "telefonbog", hvor man kunne finde personnumre på personer (som ikke aktivt har frabedt sig) og omvendt. Dermed bliver det klart, at kendskab til et personnummer ikke kan bruges om legitimation, og man bevarer den fordel, at man har en entydig nøgle til alle danske personer. Denne nøgle skal dog ikke give hvem som helst adgang til oplysninger om personen (udover navn). GDPR burde dække nogenlunde godt ind.

Man kan også overveje at ændre personnumrene, så alder og køn ikke fremgår.

  • 31
  • 3
Bjarne Nielsen

Man kan også overveje at ændre personnumrene, så alder og køn ikke fremgår.

Så vidt jeg husker, så kan man også komme med et kvalificeret gæt på, om man har fået cpr-nummer ifm. fødslen (lavt serienummer) eller senere ifm. adoption eller indvanding (højt serienummer).

Det er noget rod.

På den anden side, så er det markant nemmere at huske sin egen fødselsdato plus 4 cifre fremfor 10 tilsyneladende tilfældig cifre.

  • 11
  • 2
Kenn Nielsen

Man kan også overveje at ændre personnumrene, så alder og køn ikke fremgår.


Hvorfor dét ?
Man kan da bare lave en principbeslutning om at CPR ikke afspejler køn.

På den måde kan det være svært at føle sig stigmatiseret af dét.

Hvis man derudover (een gang) kan få et tilfældigt nummer ved aktiv henvendelse, skulle den ged vel være barberet.
Så behøver alle andre ikke at genlære nyt CPR.

K

  • 5
  • 4
Kenn Nielsen

Folk der stadig bruger de der papirbreve forventer også af man har læst dem samme dag de lander i ens postkasse, og det kan være et problem hvis PostNord afleverer breve for sent


Men de leveres altid for sent.
Det véd alle, vi får i dag brevpost med samme hastighed som for ca. 400 år siden.
(Fun fact: For 394 år siden - i 1624 - var der een ugentlig postafgang fra københavn til Jylland, fyn osv.)
Så en "rimelig frist" med snailmail er mere rimelig, end en urimelig frist i E-box.

K

  • 10
  • 1
Maciej Szeliga

Hvem siger af "forskellige nøgler i forskellige systemer" er 'rigtigt'

Det er rigtigt da det så er sværere at sammenkøre registre bag folks ryg - en ting som vi på et tidspunkt var sikrede ved lov men den er blevet noget så grundig udvandet på det sidste. I øvrigt fungerer systemet med flere nøgler fint i andre lande.

  • 9
  • 0
Kenn Nielsen

Men hvis det nummer antyder af man er 20 år ældre, som tror jeg der der nogle der ville blive lettere iretable over det

Det kan løses som ved andre password-generatorer, at lade brugeren sætte X i forskellige boxe, så man kan "designe" sit eget CPR:
Ja/nej boxe:
Skal sidste ciffer være lige ?
Skal første 6 cifre bibeholdes ?
Skal første 2 cifre være højere end 31 ?
Skal ciffer 3 og 4 være højere end 12 ?
Hvilken tværsum ønsker du ?

Find selv på flere.

K

  • 1
  • 7
Malthe Høj-Sunesen

Personnummeret har en rigtig brugervenlig feature: Der er kun tal. Der er ikke nogen I/l/1/|-, 6/b- eller O/0/o-forvirring. Det kan tastes vha. et meget lille tastatur ved check-in ved lægen, apoteket eller sygehusets parkeringsplads.

Hvis vi skal til at have flere nøgler, så kan jeg være bange for at det ender med en GUID eller værre.

  • 14
  • 1
René Nielsen

CPR er vel godt nok, så længe CPR svarer til et telefonnummer.

Som jeg ser problemet i dag, så er det at man tillægger et CPR nummer nogle juridiske egenskaber omkring personen. Det duer ikke.

Der bør blot laves en lov hvori det står at CPR ikke selvstændigt kan anvendes som identifikation eller som erstatning for Nem-ID og at CPR ved personlig betjening ikke kan stå alene uden f.eks. kørekort eller pas.

Man kunne måske tilføje, at enhver online retshandel vha. CPR indgået uden brug af Nem-ID altid skal anses for ugyldig og at enhver som forsøger at ”støtte ret” på CPR, som straf skal fortabe sin ret uanset at leverance allerede er sket af f.eks. Quick-lån.

  • 27
  • 2
Christian Schmidt

Det er rigtigt da det så er sværere at sammenkøre registre bag folks ryg


Ja, men ikke meget. De fleste virksomheder og myndigheder, der har brug for dit CPR-nummer, har også registreret din postadresse. Så langt hen ad vejen vil de kunne lave den samme sammenkøring alligevel.

Man kan så overveje, om fx din læge egentlig har behov for at kende din adresse. Lægen skal jo ikke sende dig post eller besøge dig hjemme. Men ok, hvis man kun vil sluge én kamel ad gangen, må CPR-nummeret være første skridt.

  • 2
  • 0
Christian Nobel

CPR er vel godt nok, så længe CPR svarer til et telefonnummer.

Og før folk fik mobiltelefoner, så kunne de faktisk godt huske op til flere telefonnumre, så risikoen for at glemme sit eget nummer burde være til at overse.

Personnummeret er dybest set bare en pointer, og ved ikke at gøre det databærende (og gys - bruge det til autentifikation, som det sker i dag), så kan det nemt nyudstedes hvis det har været kompromitteret.

  • 8
  • 1
Lars Bendix

Man kan så overveje, om fx din læge egentlig har behov for at kende din adresse. Lægen skal jo ikke sende dig post eller besøge dig hjemme.

Praktiserende læger kører faktisk stadig ud for at besøge patienter i hjemmet - eller på plejehjemmet. Ind i mellem.

Og det kan nogle gange være svært at vide præcist hvor megen information de har behov for at have om en. Jeg var f. eks. lidt træt af at de ikke havde kontaktinformation (email/mobil) på mig den dag jeg mødte op til en aftale efter at have taget fri fra arbejde - bare for at opdage at lægen var på kursus og at de ikke havde kunnet fortælle mig det :-/ Men det var jo dybest set mit eget valg ;-)

  • 2
  • 0
Martin Storgaard Dieu

Der bør blot laves en lov hvori det står at CPR ikke selvstændigt kan anvendes som identifikation

Det kan godt være at det her er ordkløveri - men du mener vel at CPR ikke selvstændig kan anvendes til "authentication". Med andre ord: Det er O.K. at sige at 999999-9996 er Lone Hansen. Det er ikke O.K. at sige at fordi jeg ved at 999999-9996 er Lone Hansen, så må jeg gerne optage et lån i hendes navn eller få tilsendt et nyt SIM-kort til hendes mobiltelefon.

  • 9
  • 1
Troels Arvin

Husk nogle vigtige egenskaber ved CPR:
1. Det skal håndtere, at der er flere mennesker, der hedder det samme. På hospitalsafdelinger rundt omkring i landet spørges folk hundredevis af gange daglig om CPR-nummeret, som led i at forsøge at forebygge misforståelser.
2. Det skal være noget, der er til at huske og lære udenad, jvf ovenstående. Også fx for børn.
3. Det skal, som Malthe nævner, forebygge misforståelser omkring 1/l, 0/O osv.
4. Det skulle egentlig indeholde en checksum, der gjorde, at med en god sandsynlighed fanger fejl i nummeret. Denne checksum er desværre sat ud af kraft i øjeblikket.

Så jeg håber ikke, at der bliver skabt en eller anden overdesigned GUID-løsning til "erstatning" af CPR-nummeret, hvor de gode aspekter af CPR bortfalder.

At forebygge sammenkøring er en helt anden disciplin og bør nok involvere noget med et egentlig borgerkort med chip, som kan indeholde et stort sæt formålsspecifikke ID'er/nøgler.

  • 10
  • 0
Jens Hørlück

Cpr numre skal ikke længere være personfølsomme data, men kunne oplyses på linje med adresse.
Rodet med cpr numre opstår fordi mange ikke forstår forskellen mellem autentifikation og identifikation.
Entydig identifikation er absolut nødvendigt i mange sammenhænge, så en eller anden form for fælles ident er nødvendig. Flere forskellige identer vil kræve, at man et eller andet sted kan koble dem og så er vi lige vidt.

  • 18
  • 1
Peter Kyllesbeck

Der bør blot laves en lov hvori det står at CPR ikke selvstændigt kan anvendes som identifikation eller som erstatning for Nem-ID og at CPR ved personlig betjening ikke kan stå alene uden f.eks. kørekort eller pas.


Det må så medføre, at vi (som en del af at være boger) får et 'legitimationskort'.

CPR-nummeret (Sundhedskortet) er kun en (unik) identifikation.
(Og dog bruges det stadig (af nød) som legitimation af PostNord ved udlevering)

  • 0
  • 1
Thomas Hansen
  • 2
  • 0
René Nielsen

Det må så medføre, at vi (som en del af at være boger) får et 'legitimationskort'.


Det findes skam allerede i dag. Det Nationale Legitimationskort er i kreditkortstørrelse og koster DKK 150 plus et billede nede på borgerservice.

Det sjove eller kedelige af det hele er, at det det nationale danske Legitimationskort godtages af myndigheder overalt i Europa.

Jeg har personligt brugt det i Norge, Tyskland, Holland, Italien og Frankrig overfor det lokale politi, lufthavne og hoteller.

Men militsen ved grænsen i Kruså kræver dansk pas ...........

  • 7
  • 2
Christian Schmidt

Det skulle egentlig indeholde en checksum, der gjorde, at med en god sandsynlighed fanger fejl i nummeret. Denne checksum er desværre sat ud af kraft i øjeblikket.


Ja, den er sat ud af kraft, men kun for datoer, der er “løbet tør” for CPR-nummer med gyldigt kontrolciffer. Indtil videre drejer det sig kun om 1. januar i visse år i perioden 1960-1990. Så hvis modulo-11-tjekket fejler for et CPR-nummer for en anden dato end 1. januar, er det formentlig ikke gyldigt.

At det lige er 1. januar skyldes, at denne dato benyttes som fiktiv fødselsdato, hvis den præcise fødselsdato er ukendt. Jeg synes personligt, det er ærgerligt, at man har opgivet kontrolcifferet af denne årsag (SVJH var der også frygt for, at der ville blive født mange børn omkring årtusindskiftet, men det viste sig ikke at blive et problem).

  • 4
  • 0
Martin Dahl

@Thomas, artiklerne viser forskellige billeder af problemet og nogle artiklerne er år gamle. Spørgmålet er ment med respekt for alvoren i sagen, men jeg synes ikke artiklerne svarer på sagens kerne.

At et virksomhed sender en sofa afsted til adresse fordi et CPR nummer oplag er matchet, er ikke det samme som at den udsatte person skal betale for en sofa.

Jeg forstår sagtens at virksomheder ønsker en mindst mulig barriere for at gennemføre et salg, men det er vel fair at en lyn-kredit-virksomhed selv lider et tab, hvis de har været villige til at sende penge på baggrund af et CPR check, når alle mulige andre forretninger kræver højere grad af validering, som f.eks. kreditkort-info fra et kort der ikke er spærret?

Alle her på siden vil kunne etablere en liste med alle gyldige CPR-numre (inkl. nogle få falske positiver) Og kender man folks fødseldato, så er afstanden til CPR nummeret under 12 bits, som med et distribueret throttlet angreb i praksis gør det let at tilgå alle services, der kun kræver CPR eller CPR og navn.

Spørgsmålet er derfor stadig, hvilke eksempler er der på services som i 2018 stiller personlige data tilrådighed på baggrund af CPR (og navn).

Og hvilke juridiske økonomiske krav kan en virksomhed stille mod en person som er blevet udsat for et CPR salg?

  • 5
  • 0
Jørgen L. Sørensen

Men militsen ved grænsen i Kruså kræver dansk pas ...........

Ja, for "pasloven" er stadig gældende.

Ret beset er/var det smart nok med pas(loven) hvis man gerne vil gøre det besværligt at rejse ud af landet (i hvert fald ad luftvejen) for folk som har et regnskab der endnu ikke er afregnet med samfundet --- og uden at fjerne deres mulighed for at bevise hvem de er i andre sammenhænge i samfundet.

Om det så virker i praksis når man er en del af en pasunion, og måske kan bruge et nordisk land som transit uden at vise pas dér, har jeg ikke viden om :- 0

Pasloven:
https://www.retsinformation.dk/Forms/R0710.aspx?id=172771

  • 2
  • 0
Peter Kyllesbeck

Det findes skam allerede i dag. Det Nationale Legitimationskort er i kreditkortstørrelse og koster DKK 150 plus et billede nede på borgerservice.


Ja, hvis man er 15 år eller derover - og det er, som du skriver, ikke gratis, dog billigere end at skulle skaffe sig et (rejse)pas eller kørekort.
Legitimationskort er eneste anden mulighed for (billed)legitimation, man kan få, hvis pas og/eller kørekort ikke fås.
Desuden oplyses det "legitimationskortet har ikke generelt til formål at fungere som rejselegitimation".

  • 0
  • 0
Niels-Arne Nørgaard Knudsen

jeg ser helt sikkert cpr# som en offentlig nøgle der unikt identificerer mig i statens systemer. altså ikke noget der er hemmeligt.

egentlig kan jeg godt lide ideen at man har en personlig nøgle der låser ens data op. så kan man give tilladelse til at ens læge, sagsbehandler, værge eller andet kan få adgang. borger.dk og/eller en app kan give overblik over hvem man har tildelt adgang... og der kan man også fjerne adgang igen.

om der skal laves et multi-nøgle system til de virkelig avancerede tror jeg er at skyde gråspurve med kanoner.

vil man ikke på nem-id så kan man underskrive en samtykke erklæring der giver relevante mennesker adgang til ens data. denne samtykke erklæring burde underskrives en gang om året. ja, du mister on-demand grant/revoke men tror nogle at mennesker der af en eller anden grund (det er helt legitimt i min verden) ikke vil det digitale, har en eller anden særlig beskyttelse i statens systemer? skulle de være mere hemmelige? nej. de har bare færre muligheder end digitale borgere.

  • 0
  • 4
Anne-Marie Krogsbøll

Nu har jeg netop set Kontant om identitetstyveri fra for et par dage siden. Gang på gang slås det fast, at identitetstyveri ikke i sig selv er ulovligt, og at man selv har bevisbyrden ved misbrug - selv om misbrug af identitet kan ødelægge folks liv. https://www.dr.dk/tv/se/kontant/kontant-10/kontant-2018-08-16

Og Søren Pape er selvfølgelig forarget, og har sat sit mysterium til at kigge på, hvad der kan gøres - men det er jo ikke så enkelt og blablabla....

Kan nogen forklare mig, hvorfor det ikke er meget, meget, meget enkelt at gøre identitetstyveri ulovligt? Hvori ligger det komplicerede? Måske et problem i udkanten af cpr-diskussionen, men samtidig tæt sammenvævet med denne, da det ofte er cpr, som misbruges.

  • 8
  • 0
Anne-Marie Krogsbøll

Nu kom jeg pludseligt på to vægtige mulige grunde til ikke at gøre identitetstyveri ulovligt (det er i forvejen fuldstændigt ufatteligt for en menig borger, at det ikke allerede er ulovligt, og altid har været det):

  • Hvis identitetstyveri bliver gjort ulovligt, skal politiet pludseligt til at efterforske disse sager, hvilket kræver ressourcer. Ikke sjovt for en justitsminister, hvis primære prioritering er skattelettelser og jagt på arbejdsløse, der står for sent op eller sover hos kæresten.

  • Hvis identitetstyveri bliver gjort ulovligt, skal der måske stilles større krav til erhvervslivet om at sikre, at det er rette person, man handler med. Ikke sjovt for en regering, hvis primære målgruppe er erhvervslivet og dens VL-klubber m.m., og mantraet om ikke at lægge byrder på dette erhvervsliv.

Når det er sagt, så er det jo ikke nogen ny problematik - og hvad den tidligere socialdemokratiske regerings motiv for ikke at gøre noget ved problemet - på trods af anfald af forargelse, hver gang medierne retter kikkerten mod rædselseksemplerne, det kan eg ikke helt greje - ud over at den regering på mange punkter lignede den nuværende, og havde Corydon som finansminister.

  • 7
  • 1
Christian Nobel

Vi fik for et par år siden nye sygesikringsbeviser - hvorfor?

Jo for der var blevet ændret på den bagvedliggende ejerkreds for det lægehus vi tilhører, men oplysningerne på kortet er 100,0000% identisk med det gamle.

Tænk hvor mange penge samfundet spilder på den slags tåbeligheder.

Og så er der det blå sygesikringsbevis - hvorfor i alverden udskifter man ikke bare konsekvent det gule med det blå?
Den eneste oplysning der jo alligevel er relevant er CPR nummeret, som så bruges til at identificere en i de bagvedliggende systemer, og dermed finde ud af om man er berettiget til behandling osv.

Endnu en kolossal omgang bureaukratisk spild.

  • 2
  • 0
Niels-Arne Nørgaard Knudsen

Du blander identifikation sammen med autentifikation.

CPR nummeret må kun bruges til identifikation, må ikke være databærende, og må ikke have nogen juridisk værdi i sig selv.

når jeg skriver at jeg anser cpr# for at være en offentlig nøgle har jeg ligesom skrevet mellem linjerne at det ikke kan bruges til at validere hvem jeg er da enhver kan kende det ;)

altså blander jeg ikke authentication ind i det. det kan man ikke stole på uden billed-id. mit cpr# er heller ikke juridisk gældende som nem-id der kan bruges til at underskrive et banklån med.

  • 1
  • 6
Christian Nobel

når jeg skriver at jeg anser cpr# for at være en offentlig nøgle har jeg ligesom skrevet mellem linjerne at det ikke kan bruges til at validere hvem jeg er da enhver kan kende det ;)

Ved du hvad funktionen af en nøgle er?

Prøv lige at tænke på en fysisk nøgle, hvad gør den - den låser op!

Det er altså vigtig at man holder styr på definitionerne - du risikerer at en politiker læser med, og så går det jo helt galt.

  • 4
  • 0
Peter Kyllesbeck

Og så er der det blå sygesikringsbevis - hvorfor i alverden udskifter man ikke bare konsekvent det gule med det blå?


Sundhedkortet (som det hedder) indeholder oplysning om sikringsgruppe og den læge (eller lægehus) med angivelse af tlf., man er tilnyttet
Det blå er et sygesikringskort - et bevis på ret til behandling i EU (+ et andre lande).

  • 1
  • 3
Niels-Arne Nørgaard Knudsen

jeg anser mit cpr# for at være offentligt kendt så enhver kan bruge det. det er nærmest at sammenligne med adressen på min lejlighed. nøglen til at låse hoveddøren op har jeg selv. og den deler jeg ikke ;)

cpr# er ikke en nøgle i gængs forstand. det er en unik identifikation af mig i statens systemer. og det er alt det er.

  • 2
  • 6
Christian Nobel

Sundhedkortet (som det hedder) indeholder oplysning om sikringsgruppe og den læge (eller lægehus) med angivelse af tlf., man er tilnyttet
Det blå er et sygesikringskort - et bevis på ret til behandling i EU (+ et andre lande).

Jeg kender godt den officielle forklaring, men nok uagtet hvor lav ens åndelige habitus er, så kan man nok godt huske hvilket lægehus man er tilknyttet, og man kan nok også godt finde telefonnummeret på det.

Og oplysningen om hvilken sikringsgruppe man tilhører - so what - det er jo alligevel registreret i de bagvedliggende systemer.

Det er nok klodens dyreste telefonbog!

  • 3
  • 2
Louise Klint

Jeg var på nippet til at råbe ”IDA rules! IDA for president!” <3 <3 <3
da jeg læste artiklen i går, men så gjorde jeg det alligevel ikke…

Det var på grund af den umiddelbare lettelse ved tanken om at sprænge det umådelige netværk af personfølsomme oplysninger, som er knyttet sammen ved cpr-nummerets talkombination.
Knuse den privatlivskrænkende ladeport ind til individet, som jeg synes nummeret – med digitaliseringen og lovliggørelsen af registersamkøring – har udviklet sig til
at blive. For, i stedet, at bygge skillevægge op og skærme privatlivets rum med individuelle nøgler til de forskellige døre, eller noget i den retning.

(Jeg er godt klar over at der er en række fordele ved ”universalnøgler”, som cpr-nummeret, i eksempelvis sundhedsvæsenet, når det drejer sig om individets helbred, således alle nødvendige oplysninger er tilgængelige for de fagpersoner, der skal hjælpe dig. Men så længe ”universalnøglen” ikke kun giver adgang til din sygehistorie,
men derudover også til dine skatte- og indtægtsoplysninger, uddannelsesmæssige- og socialoplysninger, din evt. straffehistorik og din bils færden + alt sligt vedr. dine evt. mindreårige børn og hele resten af dit livs interaktion med offentlige, danske myndigheder, flere årtier tilbage i tid, mener jeg, det er en afsindig og grænseoverskridende profilering/registrering af enkeltindividet, som er både privatlivs- og sikkerhedsmæssigt uforsvarlig.
Adskillelse af oplysningerne er påkrævet.
Akkurat som vi har forskellige individuelle adgangskoder til mail, netbank, e-boks og hvad, der ellers rummer værdi.
Du har heller ikke én og samme nøgle til både dit hus/lejlighed, din bil/cykel og din bankboks, har du? Og der står heller ikke navn og adresse på den nøgle, vel? Trods alt. Det kan de fleste se fornuften i).

Hvis cpr-nummeret ”ikke må være databærende”, som Christian Nobel skriver ^^,
så brydes loven vel mange gange/steder dagligt? Eller er der en nuance, jeg har misforstået?

  • 8
  • 0
Niels-Arne Nørgaard Knudsen

uanset hvad så er der brug for et eller andet der kan knytte en fysisk person til de data staten har på os.

om det er nødvendigt med en nøgle per instans (skat, læge, skole osv) kommer vel helt og holdent an på hvordan det er skruet sammen. for om du bruger 20 forskellige nøgler til at give adgang eller kun har en kommer ud på et når det er staten vi taler om. de har stadig viden om at alle disse nøgler er knyttet til samme person. altså kan du stadig singles ud. jeg kan dog godt se fordelen i at have en nøgle til staten og en der bruges til private virksomheder.

vil du nu også have en nem-id til din læge? en anden til skat? en tredje til skolen? for der har du også en identifikation der giver adgang til alt. og nem-id er langt værre end cpr#. jeg kan optage et banklån via netbank ved at underskrive med nem-id. skal jeg det med cpr# skal jeg i banken og så vil de også se billed-id.

for at blive i hus/cykel analogien, så er cpr# nummeret adressen på mit hjem. skal du ind skal du bruge en fysisk nøgle. den fysiske nøgle vil være bankassistenten. enhver kan gå ind i en bank og opgive mit cpr# men bankassistenten skal stadig kontrollere at det også er mig. altså er bank-assistenten at anse for at være min hoveddør i den digitale bankverden.

det eneste der kan gøre en forskel er lovgivning og demokratisk CIVIL kontrol af at lovgivningen også overholdes. men det har desværre nok lange udsigter.

  • 1
  • 4
Christian Nobel

vil du nu også have en nem-id til din læge? en anden til skat? en tredje til skolen? for der har du også en identifikation der giver adgang til alt. og nem-id er langt værre end cpr#. jeg kan optage et banklån via netbank ved at underskrive med nem-id. skal jeg det med cpr# skal jeg i banken og så vil de også se billed-id.

Jeg vil anbefale dig at sætte dig lidt ind i hvordan PKI fungerer - og NemID er et stjerneeksempel på hvordan det ikke skal gøres!

Og så irriterer det mig altså at du stadig bliver ved med at skrive nøgle, når du mener identitet.

Hvis du selv har kontrollen over din egen nøgle, så kan du også lave afledte nøgler - et eksempel kan være at man skal kunne dokumentere sin alder, men på ingen måde ønsker at blotlægge resten af sin identitet, f.eks. i forbindelse med udskænkning af alkohol.

PS - det øger læsbarheden af ens indlæg hvis man starter et nyt afsnit med stort.

  • 5
  • 0
Niels-Arne Nørgaard Knudsen

og det mener du helt almindelige mennesker sagtens kan overskue? det lyder godt nok besværligt i forhold til hvad man vil opnå! hvor mange tror du har lyst til at bruge afledte nøgler og alt muligt andet bare for at kunne købe en øl på et værtshus? de fleste vil sige at de bare viser kørekortet eller lignende.

strengere krav til privacy er vi begge enige om men det kan du ikke løse teknisk. det skal løses med lovgivning og kontrol.

og jeg bruger ordet "nøgle" for det er hvad en unik identifikation hedder i en database (https://www.studytonight.com/dbms/database-key.php).

det glæder mig at jeg irriterer dig - forhåbentlig mest med små bogstaver ;)

  • 2
  • 8
Michael Thomsen

Selvom vi får fjernet det sidste par steder, hvor cpr.nummeret bruges som autentifikation (og ikke bare som identifikation), så giver cpr.nummeret mulighed for at samkøre alle mulige registre, som man som borger måske ikke er interesseret i - selvom meget af det kan lyde meget uskyldigt.

Ved at have unik id hos hver tjenesteudbyder får man lukket hullet som giver mulighed for registersammenkøring uden at borgeren har givet lov til det.

Så tak for et godt indspark fra IDA!

  • 3
  • 1
Niels-Arne Nørgaard Knudsen

Jeg vil anbefale dig at sætte dig lidt ind i hvordan PKI fungerer - og NemID er et stjerneeksempel på hvordan det ikke skal gøres!

ikke for at være flabet. jeg tog dig på ordet og læste lidt op. jeg vil gerne vide om jeg har forstået det her rigtigt:

Data Recovery Manager
Archiving private keys offers protection for users, and for information, if that key is ever lost. Information is encrypted by the public key when it is stored. The corresponding private key must be available to decrypt the information. If the private key is lost, the data cannot be retrieved. A private key can be lost because of a hardware failure or because the key's owner forgets the password or loses the hardware token in which the key is stored. Similarly, encrypted data cannot be retrieved if the owner of the key is unavailable to supply it.
(http://www.dogtagpki.org/wiki/PKI_Documentation)

hvis man mister sit password så er data væk? hvis en disk står af? er det rigtigt forstået? betyder det så ikke at hvis det er min EPJ, så er hele min sygdomshistorik helt og aldeles væk? for hvis det er sådan det er, så er det da en ret elendig løsning når man tænker på hvad data det handler om og hvem brugergruppen er (meget differentieret teknisk IT kunnen).

eller er det bare den pki-server jeg fandt (den kan jeg installere på min egen maskine let og hurtigt) der har det problem? for jeg synes jeg læser lignende andre steder.

  • 1
  • 4
Niels-Arne Nørgaard Knudsen

nogle har et meget aggressivt forhold til privacy hvor jeg er langt mere pragmatisk. specielt i forhold til staten.

der er mindst 3 sokler i sikkerhed:
- sikkerhed: giver sig selv
- tilgængelighed: hvor nem er adgangen til data
- brugervenlighed: hvor let er det at bruge løsningen

og når man laver en IT løsning er man nødt til at se på det miljø den skal fungere i og hvem brugergruppen er.

jeg er til gengæld helt sikker på at der nok skulle være et par stykker der godt kunne tænke sig at skrive til skat at deres data er væk fordi de lige har glemt deres password.

jeg tager det manglende svar som at jeg har ret i min antagelse. synes nok jeg kunne huske da en af de mail-udbydere jeg bruger skiftede for en hel del år siden, at de meldte ud at de ikke ville kunne hjælpe hvis man glemte passwordet, hvis man benyttede det nye krypterings-system.

tager jeg fejl vil jeg faktisk gerne have rettet hullet i min viden. en af de primære grunde til at jeg er på V2.

  • 1
  • 3
Gert Madsen

Da CPR nummeret blev indført, blev der lavet en lovgivning, som skulle beskytte det.
I de sidste par årtier, er det så blevet ramt af mantraet, at al digitalisering er godt, og skulle der være et par ulemper, så prøver vi at tie det ihjel.
Så misbrug af CPR-numre er ikke blevet håndhævet, og folk behandler det mere og mere ligegyldigt. De steder, hvor CPR-nummeret er blevet brugt til autorisation - banker, lægehuse, sygehuse - der ser medarbejderne ikke noget problem i at råbe CPR-nummeret ud over køen, selvom de netop bruger det til sikring, fordi det er "hemmeligt".
Så uanset hvad man gør, er det nødvendigt at sikre den tiltrængte afløser for CPR-nummeret med straf og retshåndhævelse.

  • 3
  • 0
Frank Jumppanen Andersen

Spot on IDA


CPR nummer er en praktisk løsning på entydig maskinlæsbar identifikation og ikke noget andet. Det er ekstremt simpelt og sikrer let registrering.

Der er INGEN sikkerhed i CPR nummeret selv - lige så lidt som der er i mit telefon nummer eller mit navn.

Alt andet har INTET at gøre med CPR nummeret - så hvis data ikke er sikret, så er det en sag i forhold til myndigheden / brugeren - hvis man baserer en udlevering af data / aftale / handel / lån alene på CPR, så er det 100% långiverens / forhandlerens risiko - helt på linie med kortmisbrug.

SÅ - opgaven er at opdrage VERDEN til IKKE at opfatte CPR-nummeret som noget særligt, og så måske overveje nogen få ændringer som f.eks.
- fjernelse af kønsbestemmelsen

  • 2
  • 0
Leif Neland
  • 5
  • 0
Christian Nobel

Men hvorfor ikke skrive oplysningerne fra det gule over på det blå?

Evt på den anden side ;-)

Og hvis ikke det er muligt, så må folk selv huske (eller slå det op) nummeret på deres egen læge.

Det er fuldstændig galimatias at der skal administreres to parallelle systemer - tænk hvor meget dette tåbelige spild koster samfundet.

Er der nogen, der kan få det blå men ikke det gule eller omvendt?

Det er der muligvis, men igen er det kun fordi man synes at selve plastikkortet, som ingen værdi alligevel har i sig selv, skulle være vigtigt.

Der er vel alligevel kontrol på om cpr-nummeret tilhører en eksisterende og berettiget person hos lægen etc?

Lige præcis, det er de bagvedliggende systemer som afgør om man er berettiget til hjælp, og intet andet.

Da kortet jo heller ikke kan anses for identifikation (det er jo ikke et legitimationskort med billede) så kan en håndskrevet lap med CPR nummeret stort set være lige så godt - der er det så at man i resten af EU jo ikke umiddelbart kan slå op i det danske CPR system, så derfor det blå kort.

Kort og godt - nedlæg det gule kort, og erstat det med det blå!

  • 3
  • 0
Ebbe Hansen

Med alle danskeres cpr-numre (analogt med CVR), så kan vi begynde at bruge CPR.
Som det er i dag, har jeg hørt et større dansk teleselskab bruge angivelse af CPR over telefonen som eneste autentifikation i forbindelse med indgåelse af aftaler.

  • 1
  • 0
Claus Bruun

@ChristianNobel, jeg har normalt stor respekt for hvad du skriver, men efter min mening fluekepper du 'nøgle' lidt. Jeg er med på, hvad du skriver, men i mange tilfælde bruger man også nøgle som key-delen af en database record. Med andre ord er nøgle bare et index ind i den rigtige data, uden at der nødvendigvis afkodes- eller låses noget op. Problemet, med at kalde det et index, er, at man straks tænker en monoton stigende nummer serie, hvilket der ikke nødvendigvis er tale om. Nu er jeg ikke god til danske data termer, men jeg har i mine 40 år i branchen aldrig hørt, at man kalder opslagsværdien i en database for en 'identitet', men meget tit en 'nøgle'.

  • 1
  • 1
Christian Nobel

Jeg er med på, hvad du skriver, men i mange tilfælde bruger man også nøgle som key-delen af en database record. Med andre ord er nøgle bare et index ind i den rigtige data, uden at der nødvendigvis afkodes- eller låses noget op.

Det er fuldstændig korrekt at key begrebet, når vi taler databaser mere har funktion som en pointer der linker et sæt data til et andet osv.

Men desværre har vi så den sproglige forvirring (dansk er et ret fattigt sprog, hvor samme ord kan have flere betydninger, helt afhængigt af konteksten), at når vi taler nøgle i forbindelse med identifikation og autentifikation, så er nøglen at sammenligne med en fysisk nøgle (af lidt bedre kvalitet), da kun den kan låse selve låsen op (så kan vi begynde at tale om afledte og systemlåse, men lad det lige ligge lidt).

Så jeg ved hvem der bor bag døren, men jeg kan kun komme ind med selve nøglen - det er derfor at jeg i denne sammenhæng mener det er ret vigtigt at skelne mellem identifikation og autentifikation.

  • 1
  • 0
Log ind eller Opret konto for at kommentere