Minister trods omfattende misbrug af CPR-numre: »Ingen planer om at ændre systemet«

... Men det er bare ikke det man oplever i den virkelige verden. Det er helt fint hun har den rigtige opfattelse, men ikke helt fint at hun slet ikke kommenterer på at det har hr. og fru Jensen ikke. Det er den opfattelse der skal ændres, og der burde hun sparke gang i en større oplysningskampagne, for det er altså maaaaange års opfattelse af CPR nummeret som skal ændres hos rigtig mange danskere.

Det går kun ud over alm. borgere og det er ikke vigtigt. Men at Ministre ikke kan finde ud at overholde ministeransvarlighedsloven er vigtigt for borgerne - bare ikke noget der interesserer ministeren selv.

Men det er bare ikke det man oplever i den virkelige verden.

Hvis hun virkelig har ret i udtalelsen om formålet, så ville der også behov for at bryde det om. Det er ikke givet at en spørger har behov for at vide alder og køn på den person, det drejer sig om.

Det kan nemt løses, hvis CPR-registeret er åbent på samme måde som CVR-registeret. Så kan ingen længere tro, at oplysning af CPR-nummer kan bruges til autetfikation. Men det er måske uønsket, når CPR-nummeret også indeholder information om fødselsdag og køn.

Men det er måske uønsket, når CPR-nummeret også indeholder information om fødselsdag og køn.

Mere end det. Med høje løbenumre stiger sandsynligheden for, at cpr-nummeret er nyt, for man har i hvertfald tidligere uddelt dem nogenlunde fortløbende.

Så kan man så gætte på, om det skyldes at man ikke er født her, eller har haft brug for er nyt CPR-nummer af andre grunde.

Og selv hvis man randomiserer løbenummeret, så vil en åben liste betyde, at man kan holde øje med nye numre ved at sammenligne over tid.

...at det afslører al for mange oplysninger i sig selv, f.eks.:

• alder
• køn
• født i DK eller født i udlandet (første ciffer i løbenr)

Ingen af de ting burde fremgå direkte af nummret på nuværende tidspunkt - det burde bare være et løbenummer på 11 tegn plus kontrolciffer, hvis det skal være offentligt.

Hvorfor er det et problem? Mit svenske personnummer er fuldt offentligt og fortæller min alder og køn og giver direkte adgang til hvilken bil jeg har, mine ejendomsforhold, Skatte oplysninger, hvor jeg bor m.m. Dette er ikke et problem i Sverige så hvorfor skulle det være det i DK ?

født i DK eller født i udlandet (første ciffer i løbenr)

Hvilke numre viser DK og hvilke viser født i udlandet?

Jeg har en nær slægtning, mindst sjette generation dansk på begge sider, født på Sjælland med xxxxxx-26xx

Dette er ikke et problem i Sverige så hvorfor skulle det være det i DK ?

Forholdene ovre i Asien på den anden side af Øresund er noget anderledes end her i Frejas sal.

Dette er ikke et problem i Sverige så hvorfor skulle det være det i DK ?

Og afstemning til valgene er heller ikke rigtig hemmelige.

At man lever med det, er jo ikke det samme som at det ikke er et problem.

Det må være OK at ønske sig noget bedre.

Hvorfor er det et problem? Mit svenske personnummer er fuldt offentligt og fortæller min alder og køn og giver direkte adgang til hvilken bil jeg har, mine ejendomsforhold, Skatte oplysninger, hvor jeg bor m.m. Dette er ikke et problem i Sverige så hvorfor skulle det være det i DK ?

Det er noget som i sin tid blev besluttet i Sverige og svensk personnr har aldrig været "hemmeligt" som de danske er.

Samenligning mellem lande dur generelt ret dårligt, så spørgsmålet burde måske være: hvorfor er svenskerne tvunget til at udstille deres forhold når resten af verden mener der er en grænse for hvad der rager naboen ?

Tyskerne har f.eks. endnu strammere holdninger til hvad der rager hvem end de fleste andre lande.

Hvilke numre viser DK og hvilke viser født i udlandet?

Jeg har en nær slægtning, mindst sjette generation dansk på begge sider, født på Sjælland med xxxxxx-26xx

0,1,2 er personnr som man har fået ved fødslen i Danmark fra 3 og op er født i udlandet.

Det er ikke en "ægte" grænse: pga. den oprindelige opbygning med modulo 11 kontrol og kønsbestemmende kontrolciffer var der sjældent lave numre nok til folk som kom til Danmark - derfor var det tydeligt at et højt løbenummer betød en indvandrer.

I Sverige var der f.eks. ikke samme problem da det kønsbestemmende er 3 ciffer og kontrolciffer var kun kontrol så der var flere gyldige numre.

at det er nemt at huske for folk, fordi de i forvejen kan huske deres fødselsdato.

Det var så også det vigtigste (ud over ideen med en fælles nøgle).

Vi er lidt i bekneb for numre. Det 1. ciffer i løbenummer angiver ikke fødested, men hvilket "århundrede", man er født i (altså ikke det rigtige århundrede, men noget i den retning, altså 18xx, 19xx og 20xx). Det er noget kompliceret i dag.

Modulus-kontrollen blev ophævet for nogle år siden, da man pludselig løb tør for valide numre (der var en teori om årsagen, den blev aldrig bekræftet).

Så der kan efterhånden være mange argumenter for at finde på et nyt og bedre nummer. Så må folk til at lære det nye nummer, eller se efter på sundhedskortet.

Det løser så ikke det problem, at folk og firmaer tager nummeret for mere end det faktisk er.

Vi er lidt i bekneb for numre. Det 1. ciffer i løbenummer angiver ikke fødested, men hvilket "århundrede", man er født i (altså ikke det rigtige århundrede, men noget i den retning, altså 18xx, 19xx og 20xx). Det er noget kompliceret i dag.

Det stod faktisk i vejledningen til cpr-nummer i 1980'erne at 0,1,2 blev tildelt til børn født i Danmark og 3 og over til indrejsende.

Svenskerne løste det problem meget mere elegant når det opstod men de havde det nemmere: svensk personnr er oprindeligt YYMMDD-nnnx og blev engang i slutningen af 1990'erne (tror jeg) til YYYYMMDD-nnnx.

Det stod faktisk i vejledningen til cpr-nummer i 1980'erne at 0,1,2 blev tildelt til børn født i Danmark og 3 og over til indrejsende.

Det tør jeg ikke afvise. Jeg kan huske en skandale fra 1980'erne, hvor nogen fandt ud af, at et personnummer kunne vise, om en person var adopteret. Det var netop det ciffer, der sladrede. Jeg tror ikke, det var officielt, muligvis havde man en pulje af numre i et bestemt interval, som var reserveret til særlig brug. Men det var også sådan, at hvis fjerdesidste ciffer var 5 eller større, så var personen født i 1800-tallet. 0-4 var så 1900-tallet. Nu er det en del mere kompliceret (og lumske puljer er ikke synlige).

Tænk, at der er gået næsten 50 år, før jeg har fundet ud af, at jeg åbenbart er født i udlandet. Eller er fra fremtiden.

Well well well, jeg må hellere købe mig en sølvpapirshat, nu jeg er i gang.

Det er en meget fin teoretisk forklaring, der kommer fra Social- og Indenrigsministeriet. Den kan bare ikke bruges til så meget i praksis, for mig at se. Det løser ikke rigtig nogle af de mange problemer, vi har, med misbrug af cpr-numre (i praksis).

I dag bringer DR fx. en artikel om en kvinde, som har begået identitetstyveri. Via en anden kvindes cpr-nummer (og løgnehistorier) har hun ringet til vagtlæger, på skift, i alle landets regioner, og fået dem til at udskrive morfinmedicin til sig. https://www.dr.dk/nyheder/regionale/fyn/vagtlaeger-faar-kritik-udskrive-...

Til dette ville ministeren (fra sin høje hest, bag skrivebordet) i så fald sige:

Når man forholder sig til personnummeret, skal man huske på, hvad formålet med personnummeret er, og hvad personnummeret kan bruges til. Formålet med personnummeret er, at det skal fungere som en unik nøgle, som sikrer entydig identifikation, dvs. adskiller den ene Jens Hansen fra den anden Jens Hansen. [...] Formålet med personnummeret er således ikke, at det kan stå alene som et middel til sikker autentifikation, dvs. at udgøre et bevis for, at man er den, man udgiver sig for at være. Sikker autentifikation kan med fordel ske ved brug af NemID, som anvendes bredt i den offentlige og private sektor i forbindelse med digital selvbetjening.

Så kan de lære det.

Tsk, tsk.

I Sverige er personnummeret frit tilgængeligt, og man bruger det til at identificere sig med utallige steder. Men... Ringer du til bank, offentligt kontor, forsikring, teleselskab mv skal du derefter verificere, at du er den rigtige person ved at bruge dit BankID (det svenske NemId). Den man kontakter anmoder om login som man så besvarer inden man går videre i samtalen. Det var måske en idé at bruge dette system i DK. Enhver kan jo i DK ringe og udgive sig for en anden - i det mindste inden for eget køn :-)

0,1,2 er personnr som man har fået ved fødslen i Danmark fra 3 og op er født i udlandet.

Det er ikke en "ægte" grænse

Nej, det tør da mildt antydes.

0, 1, 2, 3 betyder født i Danmark og i årene 1900-1999. 4, 9 betyder født enten 1937-1999 eller 2000-2036. 5, 6, 7, 8 betyder født enten 1858-1899 eller 2000-2057.

Kilde: https://cpr.dk/media/17534/personnummeret-i-cpr.pdf, fra https://cpr.dk/cpr-systemet/opbygning-af-cpr-nummeret/

Det er sandt, at da løbenummeret tildeles næsten fortløbende vil et lavere nummer give højere sandsynlighed for, at personnummeret er tildelt en person født i Danmark, og et højere nummer vil give højere sandsynlighed for, at personnummeret er tildelt et stykke tid efter fødslen, men grænsen er i bedste fald flydende - ikke mindst efter Modulus 11-kontrollen blev udfaset for visse personnumre.

Og deri ligger problemet: Der er en gængs opfattelse af at et CPR er nok til at indgå i videre dialog og forretning og det er altid personen CPR nr tilhører der står med eventuelle problemer bagefter.

Så en god præcisering af at indgås der aftaler alene med CPR er det aldrig personen CPR nr tilhører der bærer ansvar for eventuelt misbrug.

De sidste 4 er ikke længere checkcifre med modulo. Det er bare 4 cifre.

Det blev afskaffet i forbindelse med indvandringen, hvor man selv vælger fødselsdag, da der ikke er styr på reel fødselsdato.

Der er visse selvvalgte fødselsdage der er ret populære, og derfor var der enkelte dato hvor man løb tør for numre med checkcifre. Så 250 drenge/piger født på en enkelt dag var ikke nok.

Når det er sagt, så har vi vel også det problem at der er kommet styr på fødselskontrol, og fødsler klumper lidt mere end i "gamle" dage. Det er nok lettere at være højgravid gennem sensommeren end gennem den sene vinter. Derudover småting som igangsætning og kejsersnit som også sørger for at der ikke falder så mange fødsler i weekenden.

Men der er ingen grund til at CPR nummer skal være hemmeligt, det er ikke et hemmeligt password som giver adgang til noget som helst.

Ligeledes bør man også se på at sikre at eksempelvis kreditkortnumre heller ikke kan bruges uden MFA. Det er også sekventielle numre, dog med en 3-cifre tydelig printet kode på kortet.

Tænk, at der er gået næsten 50 år, før jeg har fundet ud af, at jeg åbenbart er født i udlandet. Eller er fra fremtiden.

Det var som sagt en rent teknisk årsag til det - på dage hvor der var mange fødsler kunne der godt forekomme personer født i Danmark med 3 på første plads i løbenummret og det skete også at der er datoer med få fødsler hvor der var fortsat nre startende med 2 som første ciffer til folk som var født i udlandet.

Det som Malthe beskriver er også fuldkommen korrrekt men det er det system som er der nu - oprindeligt var der intet som identificerede århundredet fordi modulo 11 kontrolle ikke gav nok numre til det så første udgave var at folk født før 1900 fik + i stedet for - mellem dato og løbenr.

Vi er dog fortsat en ret anseelig mængde mennesker født mellem 1930 og 1999 som er ramt af det oprindelige modulo 11 system hvilket ret tydeligt kan afsløre om vi er tilflyttet - men vi dør jo på et eller andet tidspunkt indenfor de næste 20 - 50 år og så er problemet løst. ;-)

Så en god præcisering af at indgås der aftaler alene med CPR er det aldrig personen CPR nr tilhører der bærer ansvar for eventuelt misbrug.

Desværre er det nok årsagen til at det aldrig sker.

Alt hvad vi har set omkring indentifikation de sidste 30 år, handler om at personerne bag skranken holdes fri for ansvar, uanset hvad der sker.

De sidste 4 er ikke længere checkcifre med modulo. Det er bare 4 cifre.

Det blev afskaffet i forbindelse med indvandringen, hvor man selv vælger fødselsdag, da der ikke er styr på reel fødselsdato.

Der er visse selvvalgte fødselsdage der er ret populære, og derfor var der enkelte dato hvor man løb tør for numre med checkcifre. Så 250 drenge/piger født på en enkelt dag var ikke nok.

Jeg synes, at det var en dårlig løsning bare at afskaffe checksummen. Da man kun bruger 12 ud af 100 tal for måneden, så kunne man lægge 12 til månedstallet, når man løb tør for checkcifre. Så kan man have otte gange så mange med samme fødselsdato. Hvis det ikke er nok, kan man lægge 31 til dagen, så kan man gange med yderligere tre.

Jeg synes, at det var en dårlig løsning bare at afskaffe checksummen. Da man kun bruger 12 ud af 100 tal for måneden, så kunne man lægge 12 til månedstallet, når man løb tør for checkcifre. Så kan man have otte gange så mange med samme fødselsdato. Hvis det ikke er nok, kan man lægge 31 til dagen, så kan man gange med yderligere tre.

Så skal man jo til at forklare det til en frygtelig masse mennesker. For de vil ikke acceptere nummeret, allerede før de taster det ind. Men sådan rent teknisk kan jeg godt lide det.

Der var en periode (i 80'erne), hvor jeg blev bedt om min fødselsdato i stedet for mit personnummer. Så jeg oplyste min fødselsdato. Og så skulle de lige have de sidste 4 cifre. 1962 svarede jeg så.

at det er nemt at huske for folk, fordi de i forvejen kan huske deres fødselsdato.

Det er ganske rigtigt en fordel, men man kan lave koder på anden vis, så de er nemme at huske. F.eks. kan man bruge bogstaver, der er skiftevis konsonanter og vokaler, sådan at det kan udtales. Det gør det nemmere at huske. Man skal nok undgå ÆØÅ, da de giver problemer i udlandet. Det resterer seks vokaler og 18 konsonanter. Fire konsonant/vokalpar giver altså (6×18)^4 = 136 048 896 kombinationer. Det burde være rigeligt. Man kan sortere "rigtige" ord og ordpar på mange sprog fra ved hjælp af ordbøger. Det vil måske fjerne op til en million kombinationer, men det levner stadig rigeligt tilbage. Der er ikke længere nogen særlig fordel ved kun at bruge cifre -- selv når man skal taste sin kode ind på en telefon, kan man jo bruge et alfanumerisk tastatur. Der er ikke ret mange telefoner med kun numerisk tastastur tilbage, og selv der er der jo normalt tre bogstaver over hvert ciffer, og man kan sagtens arrangere, at man ikke bruger to koder, der giver de samme cifre. Det vil nok fjerne omkring 70% af de resterende kombinationer, men der er stadig rigeligt.

Det stod faktisk i vejledningen til cpr-nummer i 1980'erne at 0,1,2 blev tildelt til børn født i Danmark og 3 og over til indrejsende.

Hvilket ikke synes at have været praktiseret i 1993, hvor jeg ankom til DK, og blev udsmykket med YYMMYYYY-2XXX. Ellers løb de bare tør for løbenumre for indvandrere født på samme dag som mig?

Hvilket ikke synes at have været praktiseret i 1993

Man ændrede et eller andet i midten af 80'erne, fordi man kunne kigge "fremmede" (jeg undskylder på forhånd) ud via deres personnummer.

...at det afslører al for mange oplysninger i sig selv, f.eks.:

• alder
• køn
• født i DK eller født i udlandet (første ciffer i løbenr)
• stjernetegn¹

¹ Nogen vil bruge det til diskrimination

Det blev afskaffet i forbindelse med indvandringen, hvor man selv vælger fødselsdag, da der ikke er styr på reel fødselsdato.

Rettelse: Det blev afskaffet fordi Systemet Danmark skal have dokumentation for en fødselsdag. Hvis der ikke er dokumentation vælger Systemet Danmark at tildele et fødselsår, med 1. januar som dag og måned.

Man kan da også se ud af CPR-kontorets liste over datoer uden Modulus-11-kontrol at det pt. kun er et problem med "manglende Modulus-11-kontrol" for 1. januar.

I dag bringer DR fx. en artikel om en kvinde, som har begået identitetstyveri. Via en anden kvindes cpr-nummer [...]

Her spiller cpr-nummerets opbygning jo føje rolle. Selv hvis det var et helt vilkårligt 10-12 cifret tal kan det jo "lånes".

Problemet er ikke eksistensen af et unikt identifikationsnummer. Problemet er når det behandles som om det er et password.

[I det aktuelle tilfælde skal identitetstyven vel også en tur på apoteket bagefter for at hente sin gevist, så det lyder da som om der ligefrem kan være tale om et stjålet sygesikringskort.]

[I det aktuelle tilfælde skal identitetstyven vel også en tur på apoteket bagefter for at hente sin gevist, så det lyder da som om der ligefrem kan være tale om et stjålet sygesikringskort.]

Se, hvis man nu nøjes med de apoteker, der aflæser stregkoden, så kan man lave et funktionsdygtigt sygesikringskort på hjemmeprinteren. Bruges der magnetstribe, kræver det en smule mere udstyr at lave et selv. Det er meget almindeligt, at man selv aflæser kortet i en stander inden for døren. Egentlig skal man bare have en stregkode på et stykke karton.

Jeg ved ikke, om nogen apotker vil SE sygesikringskortet (det hedder vist sundhedskortet), når der er tale om opiater og andet godt? Men hvis lægerne ikke skal se patienten, så ... hvorfor egentlig?

Men et sundshedskort/sygesikringskort er da også langt fra en ordentlig authentication af en person. Det er vel en slags ihændehaver-authentification. Jeg håber da ikke at apoteker udleverer receptmedicin eller andet, baseret på de samme slappe antagelser som at spørge om cprnummer. Billedlegitimation er det man bruger normalt i den virkelige verden. Nemid når det er digitalt. Alt andet er for slapt.

Se, hvis man nu nøjes med de apoteker, der aflæser stregkoden, så kan man lave et funktionsdygtigt sygesikringskort på hjemmeprinteren. Bruges der magnetstribe, kræver det en smule mere udstyr at lave et selv. Det er meget almindeligt, at man selv aflæser kortet i en stander inden for døren. Egentlig skal man bare have en stregkode på et stykke karton.

Når vi nu ved at stregkoden kun indeholder cprnr så ser vi at det fortsat bruges som entydelig identifikation...

Så vidt jeg husker indeholder magnetstriben ikke meget andet.

Vi er fortsat vores personnr!

Modulus-kontrollen blev ophævet for nogle år siden, da man pludselig løb tør for valide numre (der var en teori om årsagen, den blev aldrig bekræftet).

Modulus 11 er kun ophævet for 18 specifikke datoer, alle 1. januar i forskellige årstal. Der kommer ikke nye datoer til listen, da de nu bruger 1. juli i tillæg til 1. januar i tilfælde hvor personen ikke kan oplyse en fødselsdato.

Det anbefales dog ikke at udføre modulus 11 kontrol. Hvis man vil, så kunne man snildt slippe afsted med at lave kontrol undtagen for cpr numre der starter med 0101.

Jeg håber da ikke at apoteker udleverer receptmedicin eller andet, baseret på de samme slappe antagelser som at spørge om cprnummer.

Det gør de så absolut. Nogle steder afleverer man sit kort ved skranken, hvorpå det bliver skannet af personalet. Men mange steder skanner man selv stregkoden eller indlæser magnetstriben ved en stander lige inden for døren. Man kan nemt printe en stregkode på et fremmed personnummer og bruge den som "legitimation".

Men jeg ved ikke, om det er nok, hvis man f.eks. skal hente morfin (for det bruger jeg ikke)? Men alt andet ville man kunne hente med en hjemmeprintet seddel.

I det aktuelle tilfælde skal identitetstyven vel også en tur på apoteket bagefter for at hente sin gevist, så det lyder da som om der ligefrem kan være tale om et stjålet sygesikringskort

Du behøver ikke sundhedskort for at hente medicin (ja jeg ved godt at de foretrækker det så de ikke skal taste det ind)

så kan man stadig være heldig at finde fotos af sundhedskort på nettet, hvor navn og adresse er læsbare, men personnummeret er sløret. Altså bortset fra at stregkoden, som indeholder personnummeret, ikke er sløret.

Et identitetstyveri er nok ikke så svært i den situation.