Vestager lukker for CPR-validering efter afsløring - teleselskaber protesterer
Fra udgangen af august må teleselskaber, banker og andre tjenester ikke længere benytte CPR-numrene til identifikation af kunderne i selskabernes selvbetjeningsløsninger. Det har CPR-kontoret besluttet, oplyste økonomi- og indenrigsminister Margrethe Vestager på et samråd i Folketingets kommunaludvalg fredag.
Beslutningen kommer som konsekvens af, at løsningerne kan misbruges til at validere, om et givent CPR-nummer er gyldigt for en bestemt person, sådan som Version2 tidligere har beskrevet.
»CPR-validering skal indrettes således, at uvedkommende ikke kan validere sammenhæng mellem CPR og navn. Vi har løbende overvejet, om vi skal fjerne muligheden for CPR-validering. Vi har vurderet, at det har tjent et sagligt og fornuftigt forhold, nemlig at sikre en kundes identitet, og har været en fordel for kunde såvel som virksomheder. Der er imidlertid sket meget, siden det er blevet muligt at lave denne CPR-validering,« sagde Margrethe Vestager.
Margrethe Vestager var én blandt flere fremtrædende politikere, som fik udstillet deres CPR-numre på internettet, da en ung it-studerende lavede et program, som kunne udnytte de forskellige CPR-valideringstjenester til at afprøve de forskellige kombinationer ud fra navn og fødselsdato.
»Jeg mener, at tiden er inde til at afskaffe denne løsning. Der er kun få tilbage, der bruger den. Virksomhederne må selv arbejde for at sikre identitet på kunderne,« sagde Margrethe Vestager.
CPR-kontoret har meddelt de selskaber, som benytter sig af CPR-validering, om, at de skal finde en anden løsning med udgangen af august. Margrethe Vestager pegede på NemID, men den løsning er ikke god nok, lyder det fra teleselskabernes brancheorganisation Teleindustrien.
»Et alternativ er at etablere løsninger baseret på NemID. Dette vil dog navnlig være relevant at overveje nærmere, når NemID-løsninger også er mulige at anvende på mobiltelefoner og tablets, hvilket de ikke er i dag. Endvidere er det forbundet med væsentlige omkostninger at implementere og drive sådanne løsninger,« skriver direktør Jakob Willer fra Teleindustrien i et åbent brev til Margrethe Vestager.
Ifølge Jakob Willer har de nuværende løsninger bygget på, at en bruger fik tre forsøg til at validere et CPR-nummer, hvorefter brugeren blev udelukket fra at prøve igen i en periode, hvis alle tre forsøg fejlede.
En mobiludgave af NemID, som i dag kræver, at systemet kan afvikle en Java-applet, hvilket ingen mobilstyresystemer kan, ventes først klar i løbet af 2014.
Teleselskaberne mener imidlertid, at problemet ikke ligger i, at man kan validere et CPR-nummer gennem deres hjemmesider, men i at andre tjenester benytter CPR-nummeret til autentifikation, så et gyldigt navn og CPR-nummer kan give adgang til at foretage handlinger i en anden persons navn.
»Teleindustrien opfordrer Økonomi- og Indenrigsministeriet til at rette fokus mod det reelle problem i relation til CPR, som ikke består i en teoretisk mulighed for afsløring af CPR-numre, men i at CPR-numre tilsyneladende nogle steder kan anvendes til at legitimere sig med og blive betjent på baggrund af. CPR-nummeret er ikke en hemmelig pinkode,« skriver Jakob Willer.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
