Professor og Forbrugerråd: Stram op på cpr-lovgivning

Myndighederne er sløsede med sikkerheden omkring cpr-numre, siger CBS-professor efter afsløring af, hvor let det er at finde frem til cpr-numre på den digitale tinglysnings hjemmeside. Han og Forbrugerrådet Tænk vil have myndigheder til at ændre håndtering og lovgivning om cpr-numre.

»Hele cpr-systemet skriger åbenlyst på et serviceeftersyn.«

Sådan lyder det fra professor i digital forvaltning ved CBS, Kim Normann Andersen, efter flere politikeres cpr-numre den seneste uge er blevet blotlagt af aktivister via den digitale tingslysnings hjemmeside.

Når det har vist sig at være så nemt, at man blot ved hjælpe af fødselsdato kan finde frem til en liste over mulige kandidater til et cpr-nummer, burde myndighederne simpelthen have opdaget hullet noget før.

Læs også: CPR-aktivist fortsætter aktion: Lægger statsministerens personnummer på nettet

»Jeg tvivler på, at det her er den eneste offentlige hjemmeside, hvor det kan lade sig gøre. Det er et stort problem, at den offentlige sektor ikke gør nok for sikkerheden,« siger han til Version2.

Ifølge Kim Normann Andersen er det yderst alvorligt, hvis persondata ikke er beskyttet ordentligt. Ikke så meget af hensyn til den enkelte person, men mere af bekymring til hele det system, vores velfærdssamfund er bundet op omkring:

Læs også: Digital tinglysning lukker for CPR-smuthul

»Jeg kalder dem Bermuda-trekanten: CVR-, BBR- og CPR-registret. De tre har udgjort grundpillen i det danske velfærdssamfund siden 60’erne. Dem ændrer man ikke bare på. Alt for mange offentlige services er bundet op på dem.«

Han mener derfor ikke, at der bør være så meget tale om at ændre på cpr-systemet, i stedet bør afsløringerne være et wake up-call:

»Vi skal ikke afskaffe cpr-numre. I stedet skal vi stramme op på kravene omkring de manuelle rutiner med cpr-numre og se på lovgivningen - der er masser at vinde.«

Læs også: Retspræsident: Loven afgør, at hjemmeside for tinglysning kan afsløre folks CPR-numre

Samme melding lyder fra Forbrugerrådet Tænk, som på trods regeringens initiativer om blandt andet at ændre cpr-validering i nethandlen til fordel for NemID og oprette det såkaldte Cyber Crime Center, stadig ser med bekymrede øjne på tilgængeligheden af danskernes cpr-numre.
Især set i lyset af de mange tilfælde der har været med hacking af databaser i 2013 og 2014.

»Uanset hvor meget, der bliver ryddet op i sikkerheden omkring cpr-numre, er det et problem, hvis de ligger offentligt tilgængelige. Cpr-numre er nøglen til vores liv og hovedadgangen til personfølsomme oplysninger hos eksempelvis Skat eller forsikringsselskabet,« siger Anette Høyrup, seniorjurist i Forbrugerrådet Tænk til Version2.

Læs også: Forsvarsministeriet politianmelder CPR-aktivist for læk

Derfor mener hun, at det er vigtigt, at problemets omfang bliver kortlagt, samtidig med at myndigheder gennemtjekker offentlige it-systemer for sikkerhedsrisici.

Både Kim Normann Andersen og Anette Høyrup tilkendegiver, at det er svært at skaffe sig et overblik over, hvad et cpr-nummer i dag kan udnyttes til, men Kim Normann nævner blandt andet muligheden for at oplyse en andens cpr-nummer, hvis man står overfor en bøde i den kollektive trafik.

Læs også: Udvalg tvinger regeringen til at stramme op på datasikkerhed

Version2 har været i kontakt med vicepolitiinspektør fra politiets enhed mod it-kriminalitet, Johnny Lundberg, som oplyser, at politiet ikke fører statistik på sager, hvor cpr-numre er blevet misbrugt, da det hører ind under bedragerisager. Han har heller ikke noget kvalificeret skøn på, hvorvidt cpr-misbrug er et stigende eller faldende problem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (68)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

Det er selve personnummersystemet i Danmark. Bevares "CPR-Lovgivningen" beskriver både systemet og håndteringen af personnumrene men den sidste del burde SLET ikke være nødvendig hvis systemet er lavet rigtigt.

Til forsvar for det nuværende system er der kun at sige: Det er lavet i en tid hvor det var meningsfuldt at lave det som det blev lavet men tiderne har ændret sig og derfor skal systemet laves om.
Det skal det fordi det der er lavet tilbage i 60'erne ikke kan bruges i en digital tidsalder.
Lovgivning om hemmeligholdelse af det dur ikke fordi det kan ikke forhindres at det slipper ud og, hvad værre er, det kan ikke kontrolleres om det er sluppet ud.

Simon Mikkelsen

CPR anvendes i dag som nok det vigtigste password i vores liv.

Et godt password er bl.a. karakteriseret at det er svært at gætte eller regne ud, det skiftes med passende mellemrum og er kun kendt af én selv.

CPR-nummeret er ekstremt nemt at gætte - har men køn og fødselsdato er der med diverse regler kun meget få kombinationer.
CPR-nummeret kan ikke skiftes - i hvert fald ikke nemt (kønsskifteoperation og nu også ved identitetstyveri).
CPR-nummeret kan meget nemt slås op af mange tusinde ansatte i det offentlige, et stigende antal ansatte i private virksomheder, ligesom det ofte skal siges højt. Det er dernæst bevidst, at det er nemt at gætte på anden vis.

Så stop med at bruge CPR-nummeret som passsword. Det er nok det mest elendige password der findes. Det er fint til at identificere folk entydigt, men dur ikke til andet end det.

Peter Reinhold

Så stop med at bruge CPR-nummeret som passsword. Det er nok det mest elendige password der findes. Det er fint til at identificere folk entydigt, men dur ikke til andet end det.

Det ville løse alle problematikker omkring CPR nummeret, benyt det som en entydig identifikation af en person, og intet andet.

Det er jo håbløst at man kan tage et lån ved blot at oplyse en relativt let gennemskuelig talrække, et CPR nummer burde altid skulle kombineres med et mere håndgribeligt identifikationsmiddel.

Henrik Mikael Kristensen

Det er jo håbløst at man kan tage et lån ved blot at oplyse en relativt let gennemskuelig talrække, et CPR nummer burde altid skulle kombineres med et mere håndgribeligt identifikationsmiddel.

Fungerede det rigtigt, skulle man kunne gå rundt med CPR nummeret på et skilt på trøjen, uden at der sker noget ved det.

Netop derfor burde det være strafbart at bygge systemer der tillader en tilfældig person ved brug af CPR nummer til at melde folk ud og ind af noget som helst.

Christian Nobel

"Sådan lyder det fra professor i digital forvaltning ved CBS, Kim Normann Andersen, efter flere politikeres cpr-numre den seneste uge er blevet blotlagt af aktivister via den digitale tingslysnings hjemmeside."

Det her problem har været påpeget fra flere sider i årevis, men uden at det har været taget seriøst - herregud det er jo kun borgerne det går ud over.

Men når så HTS' personnummer lægges frem til offentlig skue, ja så begynder alverdens kloge hovedet (som så i øvrigt stadig intet fatter) at komme på banen.

Suk.

Ebbe Hansen

CPR svarer ganske til virksomhedernes CVR-nummer, og dem er der ikke noget hemmeligt i.
Håndværkere skal have CVR på deres biler etc. Alle har adgang til cvr.dk.
Og CVR er der ingen der mistænker for at være hemmeligt, så derfor fungerer det entydigt som identifikation. Måske skulle vi bare have et offentligt tilgængeligt CPR register :-)

Christian Nobel

CPR svarer ganske til virksomhedernes CVR-nummer, og dem er der ikke noget hemmeligt i.

Der er en meget vigtig forskel, nemlig at CVR nummeret ikke er informationsbærende - derved bliver det bare en pointer til virksomheden.

Så hvis man her i landet vil fremad, i stedet for at grave sig endnu længere ned i et bundløst søle, så er der kun en vej frem - lav et nyt CPR register.

Authentification skal så klares på andre måder.

Steen Jørgensen

Netop derfor burde det være strafbart at bygge systemer der tillader en tilfældig person ved brug af CPR nummer til at melde folk ud og ind af noget som helst.

Men i dag har vi jo de facto vedtaget, at CPR-numre kan bruges som legitimation over telefonen. Intet kan erstatte det.

Christian Nobel

Men i dag har vi jo de facto vedtaget, at CPR-numre kan bruges som legitimation over telefonen. Intet kan erstatte det.

Jo, nemlig hvis man accepterer at CPR nummeret hverken skal være informationsbærende eller legitimerende.

Så er det helt op til banker, læger mv. selv at sørge for over telefonen at sikre sig at det er den rette person de taler med, typisk ud fra nogle kontrolspørgsmål, eller challenge response, som eksempelvis en sms kode.

Og før nogen så kommer for godt i gang med at det er åh-så-besværligt, så ja det er besværligt, men så må det være sådan, hellere det end at gå på kompromis med sikkerheden.

Ivo Santos

Det største problem med CPR nummer systemet er man kan tilmelde folk til hvad som helt blot man har en persons nummer. Det er da helt hen i vejret at jeg med Helle T. CPR nummer kan tage alle mulige lån, tilmelde mig til en masse ting, og det uden der sker et eller anden for tjek, burde slet ikke kunne lade sig gøre.

Den rigtige løsning?
Jeg aner ikke helt hvad der er den rigtige løsning, men man kunne da gøre det muligt for virksomheder at slå et CPR nummer op i en database, for dernæst at hive den pågældendes adresse op, med adressen i hånden kan den pågældende virksomhed sende et brev til vedkommende, dermed lægger man et ekstra lag oven på, for hvis en person ikke besvarer et brev indenfor f.eks. 14 dage så bliver den pågældende forespørgsel annulleret, hvilket ville øge sikkerheden en del.

De findes sikkert bedre løsninger, men jeg kan ikke lige komme på en bedre en.

Peter Kyllesbeck

Så hvis man her i landet vil fremad, i stedet for at grave sig endnu længere ned i et bundløst søle, så er der kun en vej frem - lav et nyt CPR register.


Nu er der den fordel ved de nuværende CPR-numre (den unikke identifikation af en borger), at man kun skal huske en 4-cifret PIN-kode, og så sin fødselsdag. Det er så nemt, at gamle hr. Jensen også kan huske det. Det ville nok være sværere at huske et nyt randomiseret 10-cifret CPR-nummer.

Peter Stricker

Nu er der den fordel ved de nuværende CPR-numre (den unikke identifikation af en borger), at man kun skal huske en 4-cifret PIN-kode, og så sin fødselsdag. Det er så nemt, at gamle hr. Jensen også kan huske det. Det ville nok være sværere at huske et nyt randomiseret 10-cifret CPR-nummer.


Nu er der den ulempe ved de nuværende CPR-numre (den unikke identifikation af en borger), at man kun skal gætte en 4-cifret PIN-kode, og så en fødselsdag. Det er så nemt, at gamle hr. Jensen også kan gætte det. Det ville nok være sværere at gætte et nyt randomiseret 10-cifret CPR-nummer.

Jakob Outzen

Helt enig i at det 1. man bør koncentrere sig om når vi snakker om sikkerhed er at sørge for at cpr nummeret ikke alene kan bruges som identifikation i forhold til offentlige services. Samtidigt bør vi ændre lovgivning så det bliver klart at den private sektor ikke alene kan basere sig på et cpr nummer som gyldig dokumentation på køb og salg af ydelser.

På sigt bør alle IT systemer der alene baserer sig på CPR nummeret laves om, men det kan vi ikke vente på - det er nu og her der er brug for løsninger. "Lapperier" med at "stoppe" sikkerhedshuller duer ikke. Der er brug for simple og praktiske løsninger. Grib fat om nældens rod og lad være med at acceptere CPR nummer som den eneste gyldige identifikation - kombiner den med noget andet!

Peter Kyllesbeck

Nu er der den ulempe ved de nuværende CPR-numre (den unikke identifikation af en borger), at man kun skal gætte en 4-cifret PIN-kode, og så en fødselsdag. Det er så nemt, at gamle hr. Jensen også kan gætte det. Det ville nok være sværere at gætte et nyt randomiseret 10-cifret CPR-nummer.


Og? Det er stadig en unik identifikation, der ikke er hemmelig. En borgers navn er jo heller ikke hemmeligt.
Du fejler i troen på, at bare nummeret er randomiseret, så er alt godt. Problemet er stadig at nogen bruger det som legitimation, hvilket det ikke er og aldrig har været tænkt som.

Christian Nobel

Nu er der den fordel ved de nuværende CPR-numre (den unikke identifikation af en borger), at man kun skal huske en 4-cifret PIN-kode, og så sin fødselsdag. Det er så nemt, at gamle hr. Jensen også kan huske det. Det ville nok være sværere at huske et nyt randomiseret 10-cifret CPR-nummer.

Meget muligt, men i gamle dage havde folk ikke de store problemer med at huske en lang række 8 cifrede numre, men landets befolkning er åbenbart blevet kollektivt dummere (og lige præcis gamle hr. Jensen er nok en af dem der IKKE er blevet for dum til at huske et nummer).

Det er et pseudoargument at bruge hensynet til ikke at kunne huske noget så banalt som et randomiseret nummer (som i øvrigt uden problemer kan være anført på sundheskortet, så man kan læse op fra det) for så ellers at lave brandudsalg af borgernes identitet.

Argumentet "det er nemmere" må aldrig have højere vægt end sikkerhed.

Christian Nobel

Sikkerheden ligger ikke i om det er nemmere eller sværere (at huske). Sikkerheden ligger i hvad det bruges til, og som legitimation kan og må CPR-nummeret aldrig bruges.

Enig - det er også derfor jeg siger at authentification over telefon f.eks. kan være kontrolspørgsmål eller lignende.

Men det er også vigtigt at CPR nummeret i sig selv ikke er informationsbærende, på samme måde som CVR nummeret, men udelukkende er en pointer, der om nødvendigt kan skiftes (eksempelvis i forbindelse med vidne beskyttelse).

Det må aldrig være problematikken om hvorvidt folk kan huske et (eksempelvis) 10 cifret nummer der skal være afgørende!

Mogens Hansen

Det største problem med CPR nummer systemet er man kan tilmelde folk til hvad som helt blot man har en persons nummer.


Hvorfor?
"Det største problem med motorvejene er at hvem som helst kan drøne ned af dem med 250km/h, bare man har en tilstrækkeligt hurtig bil".
Nej, vel? For vi har love der gør, at du får en eftertrykkelig straf hvis du gør. Ligesom du bliver straffet (ret hårdt i øvrigt) hvis du begår bedrageri.
Problemet er ikke systemet, eller at det stiller nogle muligheder til rådighed. Problemet opstår, når de der har mulighederne (långivere f.eks.) ikke forstår - eller ignorerer - de begrænsninger, de indeholder.

Peter Stricker

Du fejler i troen på, at bare nummeret er randomiseret, så er alt godt.


Hvordan kan du udlede det at min omskrivning af dit indlæg?

Der er adskillige eksempler på, at CPR nummeret er en fejlkonstruktion. De tilfælde, hvor CPR nummeret er blevet anvendt som autorisation i stedet for kun som identifikation er de alvorligste, og har ikke noget med formatet af CPR nummeret at gøre.

Men at adskillige politikere har fået deres CPR nummer offentliggjort, har så sandelig noget med formatet at gøre. Det, at der kun er tre tilfældige cifre i identifikationsnøglen gør, at nøglen er meget nem at gætte. Og det er et problem, når det alvorligste problem, nemlig uberettiget brug af CPR nummeret til autorisation, nu engang er så udbredt som det er.

Så du tager fejl. Jeg tror ikke, at randomisering af identifikatoren kan stå alene. Men jeg betragter det som en alvorlig fejl, at identifikatoren er en sammensat nøgle, der indeholder personhenførbare oplysninger som køn og fødselsdato.

Du fejler derimod tilsyneladende i troen på, at misbruget af identifikationsnøglen som autorisation er det eneste problem.

Gert Madsen

Hvordan skulle det blive bedre uden ændret lovgivning ?

Hvis man skal bruge noget andet til legitimation, - hvilket kan være nok så god en ide - så har man stadig behov for nogle solide sanktioner mod dem som lægger disse legitimationsoplysninger til frit skue.

Hvis det stadig er omkostningsfrit at lægge folks legitimationsoplysninger på websider, gemme dem i Access på en Windows95 maskine koblet direkte på internettet etc, så hjælper en udskiftning ikke alverden.

Christian Nobel

Hvis man skal bruge noget andet til legitimation, - hvilket kan være nok så god en ide - så har man stadig behov for nogle solide sanktioner mod dem som lægger disse legitimationsoplysninger til frit skue.

Fordi det helt store problem (for 117' gang) er at CPR nummeret fremstår som en uskøn og misforstået kombination af identifikation og authentification.

Men hvis systemet ændres til at CPR nummeret bare en ticifret randomiseret pointer, så er offentliggørelse uden betydning - men det er klart at hvis nogen så laver en hjemmeside hvor de lægger CPR nummeret til skue sammen med f.eks. en indskannet kopi at NemID nøglekortet, samt anfører password, så er der tale om en kulpøs handling, som udmærket kan håndteres med den eksisterende lovgivning.

Christian Nobel

Derfor stillede jeg tidlige spørgsmålet, om det var et problem i f. eks. Sverige.
http://www.version2.dk/artikel/professor-og-forbrugerraad-stram-op-paa-c...
Der indeholder personnummeret også fødselsdato (og køn).

Verden ændrer sig, så hvad der måske ikke har været noget problem historisk kan sagtens være et problem fremadrettet.

Eksempelvis er der igen grund til at tinglysningen offentliggør hr. Hansens fødselsdato, så der et, og kun et, sted kobles alder mod navn og adresse - omvendt ville offentliggørelse af et random nummer ikke betyde så meget, da det kræver direkte adgang til selve CPR registret for at finde de personfølsomme oplysninger - og bliver det kompromitteret, så flytter vi bare pointeren.

Der er ingen grund til ligefrem at servere folk på et sølvfad for tricktyve og lignende.

Kim Normann Andersen

det affødte da godt nok en del kommentarer. jeg talte med journalisten om dette og hun vælger jo så noget ud. jeg forsøgte nu mest af alt at mane til ro over feltet og ikke gribe til erstatning for cpr her og nu. men ja, der er løbet meget vand i åen m.h.t. adgang til datakørsler, opbevaring og deling. jeg synes dog fortsat at der er behov for serviceeftersyn af området, herunder om der overhovedet skal være så mange områder hvor cpr er omdrejningspunktet for registrering.

Christian Nobel

Lidt små råd Kim:

Indled overskrift og sætninger med stort.

Benyt linieskift efter punktum og lav afstand til nye afsnit.

Så kunne det være at man kunne læse hvad du prøver at udtrykke, uden at få ondt i hovedet.

Mogens Engsig-Karup

Det er et problem at de nationale personnummersystemer gør det muligt at forveksle borgere på tværs af landegrænser. Eksempelvis er der personer i Danmark, der har fuldstændig samme personnummer som borgere på Island. Det får interessante konsekvenser, når en islænding oplyser sit islandske personnummer til hospitalet, når han bliver indlagt i Danmark.
Derfor kunne det måske være en god ide at udvide personnummeret med en landekode. Det ville være relevant i en stadig mere globaliseret verden og en passende opgave for et eller andet FN-organ.
Vi må så leve med at det vil være dyrt at ændre cpr-format i de it-systemer der er programmeret til 10-cifrede person-numre baseret på modulus-11 kontrol.

Og så kan jeg kun støtte dem der taler for at betragte personnummeret som ren information, ikke som adgangsnøgle til noget som helst. Cpr-systemet er nyttigt, også selvom der er folk der misbruger det.

Gert Madsen

men det er klart at hvis nogen så laver en hjemmeside hvor de lægger CPR nummeret til skue sammen med f.eks. en indskannet kopi at NemID nøglekortet, samt anfører password, så er der tale om en kulpøs handling, som udmærket kan håndteres med den eksisterende lovgivning.


Min pointe er at det skal være strafbart at omgå (andres) legitimationsoplysninger lemfældigt.
Som du selv skriver bruges CPR-nummeret i dag også som legitimation. Alligevel falder der ingen straf når en kommune lægger oplysningerne på en hjemmeside, ligesom det er straffrit at lade folks pas ligge frit fremme på et skrivebord weekenden over.

Jeg kan ikke se hvorfor det skulle blive anderledes, fordi man udskifter den legitimerende funktion af CPR-nummeret ud med noget andet.

Peter Kyllesbeck

Eksempelvis er der igen grund til at tinglysningen offentliggør hr. Hansens fødselsdato, så der et, og kun et, sted kobles alder mod navn og adresse - omvendt ville offentliggørelse af et random nummer ikke betyde så meget, da det kræver direkte adgang til selve CPR registret for at finde de personfølsomme oplysninger - og bliver det kompromitteret, så flytter vi bare pointeren.


I sygehusvæsnet benyttes følgende identitetstjek: Du afleverer dit sygesikringskort (=CPR-bevis), lidt senere bliver du bedt om dit CPR-nummer, som jo står tydeligt på kortet, og så er den OK.
Ved valghandlinger benyttes følgende identitetstjek: Man ankommer med et valgkort (uden CPR-nummer), den valgtilforordnede skanner kortet, siger navnet og beder om fødselsdato (ikke CPR-nummer), og ved overensstemmelse udleveres stemmeseddel. Og tro mig, rigtigt mange lirede hele CPR-nummeret af på trods af, at vi som tilforordnede udtrykkeligt kun bad om fødselsdato, som det også var tilkendegivet tydeligt på et skilt.
Så ja fødselsdato benyttes som en del af identitetstjek, men der mangler stadig 4 cifre og direkte adgang til selve CPR registret for at finde de personfølsomme oplysninger.
Det er vel snart kun ældre damer, der kan blive fornærmede over at blive spurgt om deres alder. ;-)

Peter Kyllesbeck

Nej, der har været mange eksempler på, at CPR nummeret giver legitimation.


@Peter Stricker
Ja og det har aldrig været meningen.

Det er pengeinstitutter, apoteker, læger, sygehuse, kommuner og mange andre institutioner så ikke enig med dig i.

@Gert Madsen
Og det er så deres problem, da man ikke må bruge CPR-nummeret til andet end identifikation.

Gert Madsen

Og det er så deres problem, da man ikke må bruge CPR-nummeret til andet end identifikation.


Det ændrer ikke på at det er tilfældet, og at det er uden omkostninger for disse institutioner at gøre det.
Og dermed bliver det vores allesammens problem, som ikke forsvinder uanset hvor mange gange du skriver at det kun er til identifikation.

Peter Kyllesbeck

Og hvad problem løser det at de læser loven, når virkeligheden opfører sig utilsigtet?


Sådan er det jo ofte.
Kapitel 13 omhandler: Offentlige myndigheders behandling af personnumre
Der står intet sted, så vidt jeg kan se, noget om privates behandling af personnumre, skulle de været kommet i besiddelse af sådanne. Det har man ikke taget højde for. (LBK nr 5 af 09/01/2013 Gældende)

Finn Christensen

Men når så HTS' personnummer lægges frem til offentlig skue, ja så begynder alverdens kloge hovedet (som så i øvrigt stadig intet fatter) at komme på banen.

Og hun kommer til at sove meget meget længe endnu..

Til dato kun snak og småskvulp i sommervarmen, for der foretages intet som helst, der giver borgerne en ændring af et hullet by design system.

Først engang i 2016 vi nogen måske skitser en ny struktur, hvis nuværende klyt kan trille så længe uden alvorlige sikkerhedsbrud.

Vores 'bermudatrekant' og andre utallige sammenkørsler og sammenbinding af offentlige data kan ikke ændres eller rettes på simpel vis eller for småpenge.

Utallige og meget omfattende systemer skal have ændret it-struktur/design, tusinde af følgekonsekvenser for øvrige registre.

En ny dokumentation samt sikkerhedsinstrukser, følgerettelse og ændringer i eksisterende dokumentation bliver gigantisk. Kursusforløb samt vejledning af xxx.xxx offentlige ansatte m.fl.

Dertil kommer en enorm arkiveret datamængde, og den (nøgler) skal kunne bindes til den nye struktur.. bare tanken .(

Det hele koster et ukendt xx mia. og tager mere end 5-10 år før det mest pressende og væsentlige er ændret og driftstabilt.

Har du set et eneste seriøs bud eller har nogen fremlagt/fortalt om den omlægningen - nej vel.

Regeringen har næste nød-løgn i skuffen klar til folket, da hverken administrationen eller 179 folkevalgte minus 2-3 stykkerne har nogen som helst interesse i en ændring.

Finn Christensen

Regeringen har næste nød-løgn i skuffen klar til folket, da hverken administrationen eller 179 folkevalgte minus 2-3 stykkerne har nogen som helst interesse i en ændring.

Suk, jeg burde vide bedre. En af de hårde faktaresistente med en virkelighedsradar på Bramsen niveau, er allerede på banen og beskylder samfundet og vælgerne for at være problemet, og ikke ministeren eget 'forkert by design' SCR system.. http://www.version2.dk/artikel/vestager-personnummeret-er-en-fortrolig-o...

Peter Kyllesbeck

Undskyld, men hvad var egentlig dit formål med at henvise til loven?


Det turde være klart, men at CPR-numre er en unik identifikation af personoplysninger til brug for de offentlige myndigheder og private med en berettiget interesse heri.
At det aldrig har været hensigten at det skulle være legitimation i forbindelse med interaktion med private virksomheder.

Peter Kyllesbeck

Jeg synes at du skal finde et lidt bedre argument for, at der ikke er nogen problemer.


Jeg synes du skulle lære at læse.
Jeg har på intet tidspunkt hævdet, at der ikke var problemer.
Problemerne er vi vist alle enige om skyldes troen på, at CPR-numre er hemmelige og at de kan bruges som legitimation (autorisation), hvilket de aldrig har kunnet.
Derfor skal det skæres ud i pap, at CPR-numre ikke kan/må bruges som legitimation (autorisation) (ikke gyldig legitimation)

Peter Stricker

Derfor skal det skæres ud i pap, at CPR-numre ikke kan/må bruges som legitimation (autorisation) (ikke gyldig legitimation)


Det er korrekt, at kendskab til CPR nummer ikke må godtages som gyldig legitimation. Men det er absolut ikke korrekt, at det ikke kan bruges som legitimation. Om legitimationen er gyldig, er sådan set ligemeget, når man først har fået adgang.

Det var derfor, jeg studsede over din henvisning til loven. Den kan bruges til at afgøre, hvad man må, men ikke hvad man kan.

Jørgen L. Sørensen

Og måden at gøre det på, er at gøre det ansvarspådragende, hvis man ikke sikrer sig anden legitimation/godkendelse.

Er det egentlig nødvendigt? Hvis A ønsker at fastholde aftalen mod mod en bestemt person (B), må det vel være A som skal dokumentere/bevise at aftalen faktisk er indgået med B. Så kan retten vel afgøre om B's cpr-nummer, navn og adresse oplyst over telefonen er bevis nok for at det rent faktisk er B som har indgået aftalen.

Jørgen L. Sørensen

Har du læst tråden ?

Ja.

Det jeg spekulerer på er om det er nødvendigt at ændre loven - det er nok mere adfærden der skal ændres.

Hvis en ting er forbudt ved lov nr. 457, og folk stadig overtræder forbudet, hjælper det jo ikke at lave en ny lov nr. 954 som forbyder det samme.

Hvis (foged)retten hidtil har godkendt at kreditor har et krav mod person B, fordi debitor blot har opgivet person B's cpr-nummer, bør retten måske ændre praksis og afgøre at kravet ikke holder, men der skal mere dokumentation til for at det vitterligt er B som har indgået aftalen. Det skal siges at jeg ved ikke hvad praksis og lovgivning er - det er blot et tænkt eksempel på adfærd.

Finn Christensen

Det jeg spekulerer på er om det er nødvendigt at ændre loven - det er nok mere adfærden der skal ændres.

Mennesker der fortrins kender og er opdraget til at det 'maskinen siger' og det der står på skærmen er rigtigt - hvordan vil du dog lave om på det ?

Mange mennesker kender fra de er ~1 år til nuværende alder kun et institutionsliv.. fra vuggestue/børnehave/skolegang/Uni el. anden højere uddannelse og til job i det offentlige eller kvasioffentlig organisation - osteklokke klanen.

De har aldrig set, levet eller tænkt som dem ude i virkeligheden.

Peter Stricker
Gert Madsen

Hvis en ting er forbudt ved lov nr. 457, og folk stadig overtræder forbudet, hjælper det jo ikke at lave en ny lov nr. 954 som forbyder det samme.


Det hjælper at sætte en straframme på.
Hvis man ændrer så der er fængselsstraf for at være skødesløs i behandlingen af andre menneskers personlige oplysnínger.

Jeg er sikker på at man får et helt andersledes fokus på IT sikkerhed, hvis kontorchef Petersen kan få en bøde for at undlade at informere kontoreleven om at man ikke må lægge CPR-numre direkte på en WEB-side.
Eller der vanker en lille tur bag de stive gardiner, hvis man overlader borgernes data til et eksternt firma, uden at holde tilsyn med om dette firmas sikkerhed er i orden.

Log ind eller Opret konto for at kommentere