Krav om NemID ved CPR-opslag på vej

For at styrke sikkerheden i forbindelse med opslag i CPR-registret bliver det snart et krav, at der skal være logget ind med NemID.

Det bliver et krav, at brugere skal være logget ind med NemID, før der kan slås op CPR-registret via online-selvbetjeningsløsninger. Kravet bliver indført for at øge sikkerheden i selvbetjeningsløsninger på nettet, hvor der er en integration til CPR-registeret, fortæller chef for CPR-kontoret under Økonomi- og Indenrigsministeriet Carsten Grage.

Der har været flere eksempler på sager, hvor brugere ved at prøve sig frem med kandidater til CPR-numre har kunnet gætte sig frem til en persons rigtige CPR-nummer. Men fremover vil brugerne altså skulle være logget ind med NemID, der kan slås op i CPR.

Læs også: Retspræsident: Loven afgør, at hjemmeside for tinglysning kan afsløre folks CPR-numre

»Vi indfører et krav, formentlig fra omkring 1. oktober, om, at hvis man vil bruge opslag i CPR, så skal man først have autentificeret brugeren med NemID. Det er et fornuftigt krav, som vil være med til at udbrede mere sikkerhed i selvbetjeningsløsninger på nettet, hvor der er en integration til CPR,« siger Carsten Grage og tilføjer:

»Hvis CPR bliver integreret i løsninger, hvor en bruger kan initiere et opslag i CPR-registret, så vil vi godt vide, hvem der sidder i den anden ende, og derfor skal vedkommende være logget på via NemID. Vi vil gerne vide, hvem der foranlediger opslaget i CPR.«

At initiere et opslag vil ifølge Carsten Grage sige, at en ny kunde hos et mobilselskab indtaster navn og personnummer, hvorefter hjemmesiden foretager et opslag i CPR-registeret med henblik på validering. Denne handling vil fremover kræve, at brugeren først er valideret med NemID.

Når datoen for, hvornår kravet bliver indført, ikke ligger helt fast, hænger det sammen med, at kravet forudsætter, at NemID JavaScript går i luften fra omkring 1. juli, forklarer Carsten Grage.

Blandt andet telebranchen har udtrykt ønske om, at NemID JavaScript skal være tilgængeligt i rimelig tid, inden kravet om NemID-validering i forbindelse med CPR-opslag bliver en realitet. Begrundelsen er, at den nuværende NemID-løsning baseret på Java-platformen i udgangspunktet ikke fungerer på mobiltelefoner og tablets. Det skulle JavaScript-løsningen gøre. Og dermed vil online-løsninger, der kræver CPR-opslag og NemID-login, også fungere for brugere, det vil også sige potentielle kunder, der anvender tablets eller mobiltelefoner.

Selv om det bliver et formelt krav, at brugere, der foranlediger et opslag i CPR-registret, er logget ind med NemID, kan CPR-kontoret dog ikke teknisk validere, at opslag kun bliver initieret af brugere, der er logget ind med NemID, fortæller Carsten Grage.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Reinhold

Spørgsmålet er om omkostningerne ikke ville være for store, men der bliver i hvert fald gjort et bravt forsøg.

Det ville da være forfriskende hvis der kom lidt fornuft til bordet, der ville løse problemet ved dets rod, istedet for det her kvarthjertede forsøg, som blot kommer til at irritere tusind og atter tusindvis af borgere.

Folmer Fredslund

Vil det sige at jeg først skal logge ind med NemID, hvorefter jeg skal indtaste mit CPR nummer (igen) så firmaet kan slå min adresse op i CPR registret?
Altså, den adresse som jeg brugte for at få mit papkort til NemID?

Det virker lidt bagvendt, og hvis man skal logge ind med NemID kan man så ikke få informationen direkte derfra, så man helt slipper for opslag i CPR?

Søren Mors

Nej, det kan man ikke. Der er ikke noget CPR nummer i et NemID certifikat, men derimod et entydigt såkaldt PID.

Er du en offentlig myndighed, kan du få et PID vekslet til cpr nummer, hvorimod private virksomheder kun kan få valideret om et givet pid passer til et givet cpr nummer.

Rasmus Rask

Vi indfører et krav, formentlig fra omkring 1. oktober, om at hvis man vil bruge opslag i cpr, så skal man først have autentificeret brugeren med nemid. Det er et fornuftigt krav, som vil være med til at udbrede mere sikkerhed i selvbetjeningsløsninger på nettet, hvor der er en integration til cpr

Gu' er det ej et fornuftigt krav. CPR-registeret er en "telefonbog" - behandl den som sådan!

Hvis cpr bliver integreret i løsninger, hvor en bruger kan initiere et opslag i cpr-registret, så vil vi godt vide, hvem der sidder i den anden ende, og derfor skal vedkommende være logget på via NemId. Vi vil gerne vide, hvem der foranlediger opslaget i cpr.

Hvorfor vil "vi" gerne vide det? Det er da fløjtende ligegyldigt!

Jeg havde dog (naivt) troet at den seneste tids offentliggørelser af CPR-numre, af aktivister i lille målestok såvel som det offentlige i stor, kunne få folk til at trække hovedet op af sandet og indse at CPR-numre ikke er hemmelige, men ak!

Med intentionen om at bruge mere gaffatape til at lappe den utætte båd, det at validere via. CPR-nummer er, er der intet der tyder på nyt under solen.

Øv øv øv!

Helge Svendsen

Jeg havde dog (naivt) troet at den seneste tids offentliggørelser af CPR-numre, af aktivister i lille målestok såvel som det offentlige i stor, kunne få folk til at trække hovedet op af sandet og indse at CPR-numre ikke er hemmelige, men ak

Brug af NemID, er jo netop et skridt væk fra at bruge CPR på den led, og hen imod brug af en rigtig autentifikation.

Så kan man synes hvad man vil om NemID, det er i hvert fald et skridt i den rigtige retning ift. at forbrydere kan optage lån i ens navn - bare med et CPR nummer i hånden.

Michael Larsen

... at man kan se hvem der har søgt på et cpr-nr., men hvad vil man bruge det til rent juridisk ? Som dokumenteret af andre her på siden, flyder vores cpr-numre rundt imellem hænderne på utallige mennesker, vi ikke aner hvem er. Hvordan skal man kunne dokumentere hvem der har misbrugt et cpr-nr. ?

Torben Jensen

Nu må de teknisk kyndige hjælpe mig lidt her.. men vil det ikke stadig kunne scriptes / automatiseres ? F.eks. hvis jeg logger ind manuelt med NemID, og derefter lader et script styre browseren til at gøre ting flere gange. Så vil browseren vil stadig være logget ind med NemID.

I forvejen ved sitet (som slår op) hvem "jeg" er vha IP-logging. Og det er vel stadig muligt at slå op flere gange.

Har jeg ret i det kan jeg ikke se "sikkerheden" er blevet bedre, kun at det er ganske lidt mere besværligt at slå CPR-numre op.

Hvis ikke er det vel alternativt en smal sag at samle omkring 200 personer som hver checket ét af de mulige kombinationer for fødselsdag/køn.

Anders Hessellund Jensen

Nej det vil ikke kunne automatiseres. Når en bruger logger ind med NemID, så får serviceudbyderen (eksempelvis teleselskabet) brugerens fulde navn, men ikke CPR-nummer. Serviceudbyderen beder defter brugeren om at indtaste CPR-nummeret, og så kan serviceudbyderen sende navn og CPR-nummer til CPR og få et ja/nej svar tilbage om hvorvidt navn og cpr-nummer stemmer overens.

Eftersom navnet kommer fra NemID certifikatet, er det ikke muligt at slå CPR-numre op for andre end brugeren der er logget ind med NemID. (Dvs, serviceudbyderen kan godt, men slutbrugeren kan ikke).

Ebbe Hansen

Men måske har indenrigsministeriet inden handlen med nets blev gennemført forpligtet sig til at skaffe nets yderligere omsætning på nemid?
Det her lyder som det glade vanvid. Tænk hvis embedsværket opfører sig lige så tåbeligt i andre sammenhænge. Jeg tør ikke tænke tanken færdig.

Andreas Bach Aaen

Kravet er NemID. Det vil i praksis sige OCES NemID for alle andre
end offentlige myndigheder via den fælles login side.
Den mere sikre NemID på hardware kan således ikke bruges!

Vi skal åbenbart allesammen have vores private nøgler liggende i et fælles nøgleskab produceret af en amerikansk virksomhed og administreret af en anden amerikansk virksomhed.
Hvilken sikkerhed giver det den danske stat og de danske borgere?

Jeg foretrækker synlig lav sikkerhed frem for usynlig lav sikkerhed.

Jesper Lund Stocholm Blogger

Og nu skal virksomhederne så til at betale kr. 1,26 (1,01 eksl. moms) hver gang en bruger skal valideres og måske ikke engang ender med at handle. Fantastisk ... for Nets' pengepung.


Direkte opslag i CPR koster i dag DKK 0,45 (ex moms).

Kan værdien af den øgede sikkerhed (butikkerne risikerer ikke længere, at en konto oprettes i en andens CPR-nummer - med mindre NemId er komprimitteret) opveje de ekstra 60 øre pr. (potentiel) kunde?

Henrik Biering Blogger
Finn Christensen

...det her kvarthjertede forsøg, som blot kommer til at irritere tusind og atter tusindvis af borgere.

Nyt makværk bygges ovenpå makværk er kendetegnet i offentlig byggeskik (hovsaløsninger). I mangel af bedre, så flytter vi lige problemet lidt rundt..

Men Nets og nogle virksomheder m.fl. bliver lykkelige nu, da de nu kan prale med at det er 100% sikkert, samt pengene triller endnu hurtigere ned i tanken hos Nets.

Koncentrationen via Nets bliver endnu mere betænkeligt - suk.

Finn Christensen

at man vil bekæmpe overvågning ved at indføre overvågning.
Hvad har jeg misforstået?

Ja, man har ingen interesse eller forstand på it-sikkerhed, men har det som præsten, der tordner fra sin prædikestol - "i synder alle til hobe".

Hos præsten og i offentlig administration liver det op i den grå tristesse, når man kan finde og fange synderne.

Matti Meikkälainen

Du bør starte med at ændre dit Bruger-id til noget andet end dit CPR nummer og aktivt sætte din profil til at nægte login med CPR-nummer.

Et minus ved dette er, at man så kan bruge NemID applet'en til at gætte CPR nummeret (jeg ved ikke om det også gælder dem som ikke har deaktiveret CPR nummeret som Bruger-id). Man får to forskellige fejlmeddelelser afhængig af om det er det korrekte CPR nummer der indtastes (uanset om adgangskoden er korrekt eller ej):

"Fejl i bruger-id eller adgangskode"

"Log på med NemID-nr eller selvvalgt bruger-id"

Sune Marcher
Maciej Szeliga

Men nu er deg jo sådan at Mobilbank kræver et nummer og så er det RET svært at overbevise folk om at lave deres personnummer til et andet nummer...

NB. Jeg har ikke selv NemID (og derfor ikke nogen mobilbank) og derfor er det udelukkende baseret på hvad jeg lige har set.

Rasmus Rask

Jeg har ikke selv NemID

Hvordan har du dog sluppet for det så længe? ;)

Det er jo stort set umulig at begå sig i vores digitale samfund i dag, uden at acceptere det "frivillige" NemID/OCES, eller bruge oceaner af tid, bare på at finde ud af, hvilke analoge ringe man skal springe igennem.

Det antages over det meste, hvis ikke hele, linjen, at du har NemID. Nogen instanser er ikke engang klar over, hvordan de håndterer deres processer, for borgere der ikke har/vil bruge NemID :(.

Christian Nobel

Det er jo stort set umulig at begå sig i vores digitale samfund i dag, uden at acceptere det "frivillige" NemID/OCES, eller bruge oceaner af tid, bare på at finde ud af, hvilke analoge ringe man skal springe igennem.

Jeg klarer mig også fint.

Banken klarer jeg ved at trisse over til banken og røve noget tid ved kassen - det må de så acceptere når de ikke kan levere en sikker løsning.

Som yder er den eneste offentlige instans jeg har behov for (eller rettere omvendt) SKAT, og de har heldigvis ikke ødelagt deres tast-selv kode endnu.

Btw, jeg har spurgt før, men der er åbenbart ingen problemer med sikkerheden i tast-selv, selv om det er en simpel password sag, hvilket sætter hele NemID vrøvlet lidt i perspektiv, medmindre hele øvelsen går ud på noget helt andet end det man bilder folket ind.

Matti Meikkälainen

Men nu er deg jo sådan at Mobilbank kræver et nummer og så er det RET svært at overbevise folk om at lave deres personnummer til et andet nummer...

Du kan altid bruge dit NemID-nr som alternativ (det man brugte til at aktivere NemID - hvis man har mistet det, kan man få det ved henvendelse til et skatte- eller borgerservicecenter).

Så Mobilbank vil stadig fungere, selvom CPR-nummeret er fravalgt, men besværligt hvis man ikke har NemID-nummeret liggende.

Log ind eller Opret konto for at kommentere