Vestager: Nej til central spærring for CPR-misbrug

Det vil ikke hjælpe noget at kunne spærre for private virksomheders opslag i CPR-databasen, mener Margrethe Vestager. Faktisk er CPR-nummeret også mere et journalnummer end en pin-kode, siger ministeren

Har du en persons fødselsdato, kan det hurtigt omsættes til et fuldt CPR-nummer, fordi der på nogle websider er mulighed for at lave mange hurtige opslag i det officielle personummerregister. Nogle private firmaer har nemlig online-formularer til oprettelse af nye kunder, og er der ikke sat begrænsning på antallet af opslag, vil en hurtig brute-force-øvelse kunne afsløre et CPR-nummer.

Problemet kom til debat igen, da TV2 i april tog det op i et nyhedsindslag, som en opfølgning på tidligere historier om samme sikkerhedshul. I indslaget finder en it-studerende frem til Margrethe Vestagers CPR-nummer på under to minutter.

Det har fået Folketingets Retsudvalg til at spørge økonomi- og indenrigsministeren, hvad der bliver gjort for at lukke hullet.

Svaret er 'ingenting', for Margrethe Vestager mener, at systemet er fint nok, som det er i dag. Ifølge reglerne må en virksomhed ikke give ubegrænset adgang til opslag i CPR-databasen, og sker det, kan virksomheden få afbrudt adgangen til registret. Der er løbende kontrol med det, pointerer ministeren, for eksempel blev 115 virksomheder tjekket i efteråret 2012.

Retsudvalget foreslår derudover, at man fra centralt hold kunne spærre for opslag på bestemte CPR-numre, hvis der er misbrug. Men det vinder ikke genklang hos Margrethe Vestager.

Læs også: DF vil gøre det muligt for ofre for identitetstyveri at få nyt CPR-nummer

»Det er min opfattelse, at den nuværende ordning understøtter en saglig og fornuftig anvendelse af CPR. Det er endvidere min opfattelse, at indførelsen af et system med mulighed for en form for central spærring af et personnummer i CPR ikke er hensigtsmæssig. En central spærring kan være relevant til beskyttelse af hemmelige PIN-koder og kodeord – ikke til beskyttelse af et personnummer, som mere kan betragtes som borgerens journalnummer i offentlige og private systemer,« skriver ministeren i svaret.

Problemet er også, at hvis en person oplever misbrug af et CPR-nummer, vil det være for sent at spærre for adgangen til opslag i CPR. For så er CPR-nummeret jo allerede kendt af andre, pointerer hun.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Nyhjem

Hvis CPR udelukkende skal anses som et journalnummer, så bør det ikke være muligt at kunne optage lån og indgå andre bindende kontrakter når dette er det eneste man har. Så skal der i stedet et ekstra led på, så folk ikke havner i den uheldige situation hvor nogen har købt ting eller indgået aftaler i ens navn, som man ikke ønsker. Det bør i øvrigt også være nemt for en bruger at ophæve ellers bindende kontrakter, da virksomhederne jo ikke har andet end ens journalnummer, og derfor ikke kan være sikre på at personen faktisk har ønsket at indgå aftalen.

  • 21
  • 0
Torben Mogensen Blogger

Hvis CPR udelukkende skal anses som et journalnummer, så bør det ikke være muligt at kunne optage lån og indgå andre bindende kontrakter når dette er det eneste man har.

Enig. Og det problem kan løses, hvis udlånere ikke kan stille krav mod lånere, hvis de ikke kan dokumentere, at låneren har brugt billedlegitimation ved optagelse af lånet, og at denne billedlegitimation er sammenlignet med låntagerens udseende. Som dokumentation kan evt. kræves et scan af legitimationen sammenholdt med et digitalt foto af låntageren holdende den indgåede aftale.

Evt. kan andre former for legitimation (såsom digital signatur eller NemID) bruges. Men ikke CPR alene.

  • 8
  • 2
Gustav Brock

Ja. Som sædvanlig har fru Vestager ret, bortset fra at:

"Faktisk er CPR-nummeret også mere et journalnummer end en pin-kode"

skal strammes til:

"Faktisk er CPR-nummeret et journalnummer, ikke en pin-kode"

da der ikke kan være tale om et både-og eller nogle gange det ene, nogle gange det andet. Konsekvensen heraf er så, at banker og andre må rette procedurer og jura ind herefter, så oplysning om CPR ikke indebærer andet end oplysning om navn og adresse, alder og køn.

  • 6
  • 0
Martin Kofoed

Så det er LIDT en pin-kode, eller hvad?

Er det ikke snart på tide at åbne op for CPR? Det er jo dybt åndsvagt at basere hemmelighedskræmmeri på et tal som måske/måske ikke er en pinkode. Eller et journalnummer. Eller hvad det nu er. Men det er relativt nemt at få fat i, selv om man ikke kender det. Hvis CPR gøres helt åbent, bliver det jo åbenlyst for enhver, at man ikke kan bygge "hemmelighed" op omkring et CPR-nummer. Man kunne lave en skæringsdato så godtfolket kan nå at rette systemer til. Mon ikke et par år er nok? Sæt i gang!

  • 5
  • 1
Peter Knudsen

Enig med Martin Nyhjem, og det ekstra led (i hvert fald ved aftaler hvor parterne ikke mødes fysisk) er Nem-ID. Er der ikke brugt Nem-ID, er det altid den virksomhed, der mener, der er indgået en kontrakt, der har bevisbyrden for, hvem kontrakten er indgået med, og har de blot fået oplyst et cpr-nr., kan de ikke løfte denne bevisbyrde og må derfor annullere kontrakten. Lidt på samme måde som hvis nogen har brugt kortoplysningerne fra mit Dankort til at købe noget med på nettet. Hvis ikke jeg har givet lov til det, skal banken jo også uden videre betale mig mine penge tilbage.

  • 4
  • 1
Jette Hartmann

Enig. Og det problem kan løses, hvis udlånere ikke kan stille krav mod lånere, hvis de ikke kan dokumentere, at låneren har brugt billedlegitimation ved optagelse af lånet, og at denne billedlegitimation er sammenlignet med låntagerens udseende. Som dokumentation kan evt. kræves et scan af legitimationen sammenholdt med et digitalt foto af låntageren holdende den indgåede aftale.

Evt. kan andre former for legitimation (såsom digital signatur eller NemID) bruges. Men ikke CPR alene.

Der er INGEN i DK der kan kræve billedlegitimation. Staten udstyrer borgerne med et sundhedskort uden billede på. Dét er faktisk den eneste form for legitimation man har pligt til at vise frem.

Undtagelserne er naturligvis når man fører bil - eller skal rejse, så er pas og kørekort lovpligtigt - men under alle andre omstændigheder er der intet lovmæssigt krav om at danske statsborgere skal have billedlegitimation!

  • 0
  • 2
Martin Nyhjem

Ikke helt korrekt at man ikke måde bede om billed-ID :)

Man må gerne bede om det, og skal det også i visse tilfælde. F.eks. når man skal sælge alkohol og tobak:

"Butikkerne kan kræve at se gyldig billedlegitimation for at sikre sig, at du er gammel nok. Har du et knallertkørekort eller kørekort til traktor eller bil, er det gyldig legitimation. Det samme gælder pas.

Hvis du ikke har gyldig billedlegitimation, kan du købe et id-kort hos kommunen. I de fleste kommuner koster kortet 150 kr. (2013). I nogle kommuners borgerservicecentre har de udstyr til at tage et billede af dig. I de øvrige kommuner skal du komme med et digitalt foto. Alle skal medbringe deres originale dåbsattest, fødselsattest, navneattest eller pas. Du kan få mere at vide om legitimationskortet i kommunens borgerservicecentre. "

  • 3
  • 1
Henrik Biering Blogger

Nu er Margrethe Vestager så kommet med i rækken af ministre, der skifter mening på under en måned. Eller måske blot ikke formår at få visionerne til at hænge sammen med praktikken.

Den 15 april var jeg til møde hos Dansk IT "Danmark 3.0: Fra digitalisering til velfærd", hvor Margrethe Vestager leverede et fremragende indlæg, hvori hun blandt andet talte varmt for at give borgerne mere ansvar for deres egne data. Egentlig en stor positiv overraskelse.

Det er derfor utroligt så kort tid efter at opleve Margrethe Vestager give udtryk for den diametralt modsatte holdning, når det kommer til en konkret sag.

CPR numre er en levn fra den gang IT-systemer ikke kunne tale intelligent med hinanden. Med nutidens IT-teknologi er det slet ikke nødvendigt (snarere en sikkerhedsbrist) at ellers adskilte systemer skal dele universelle identifikatorer. Men i afmagt at springe til en omgående lukning af CPR-tjenesten for private virksomheder, som Dansk IT anbefaler er heller ikke hverken klogt eller et skridt på vej mod D-land

Hvad har parterne egentlig imod at forlade deres sort-hvide synspunkter og komme ind i D-land, hvor væsentlige dele af løsningen allerede er implementeret eller på vej til at blive det.

En simpel løsning kunne være: Når en person (borger) slås op i CPR sendes der i første omgang ikke svar tilbage til virksomheden, men en NEMSMS til borgeren med navnet på virksomheden og en pin-kode, som virksomheden skal benytte i et opfølgende request til CPR for at kunne få bekræftende svar fra CPR. Har man ikke opsat NemSMS bliver beskeden istedet sendt til den snart obligatoriske Dokumentboks.

Det er jo allerede altovervejende praksis blandt private virksomheder at tilmelding til et almindeligt nyhedsbrev på nettet kræver dobbelt opt-in. Så at det samme princip ikke allerede gælder for tilmelding til brug af ens CPR-data er jo egentlig absurd.

Så kære Dansk IT og Margrethe Vestager: Kom nu begge ind på banen med konstruktive løsninger, der kan vise det første spæde skridt på vejen mod at give borgerne mere kontrol over tilgangen og brugen af deres data.

Ved at indføre en sådan simpel løsning på kort sigt, kan vi samtidigt få mere ro til at debattere hvilke tekniske standarder og profiler af disse det vil være hensigtsmæssige at samle os om for på længere sigt helt af kunne afskaffe CPR-nummeret som universelt "correlation handle".

  • 5
  • 0
Peter Makholm Blogger

Hvis CPR udelukkende skal anses som et journalnummer, hvad er så baggrunden for at opretholde persondatalovens § 11, der begrænser privates brug af CPR-nummeret?

Forbudet mod at anvende personnumre drejer sig først og fremmest om en balancegang mellem at gøre samkøring af registre mulige og umulige. Grænsen i §11 er så sat således at sammenkøring mellem offentlige og private registre kun skal være mulig når personen eller speciallovgivning tillader dette.

Dette er en fornuftig vurdering at foretage uanset om personnummeret anses for at være personfølsomt eller ikke-personfølsomt.

  • 2
  • 0
Gert Madsen

Som dokumentation kan evt. kræves et scan af legitimationen sammenholdt med et digitalt foto af låntageren holdende den indgåede aftale.

Hvis indskannet legimitation kommer til at ligge og flyde i enhver lille biks, så mister det også sin reelle betydning.

Derimod kan jeg godt lide tanken om et billede, hvor man holder aftalen. Det kan jo give den sammenhæng mellem ID, underskrift og så selve aftalen, som feks. mangler ved NemID.

  • 1
  • 0
Gert Madsen

Når man fyrer sin login afsted til DanID, så kan man tro på at signaturen bruges til at overføre 100 kroner til moster Oda - men man ved det ikke. Den kunne sådan set lige så godt bruges til at tilskøde huset til Stein Bagger for en krone.

Jeg kan ikke verificere at den signatur jeg sender afsted, er "skrevet" på en anmodning om at overføre 100,-.

  • 4
  • 0
Christian Schmidt Blogger

Forbudet mod at anvende personnumre drejer sig først og fremmest om en balancegang mellem at gøre samkøring af registre mulige og umulige. Grænsen i §11 er så sat således at sammenkøring mellem offentlige og private registre kun skal være mulig når personen eller speciallovgivning tillader dette.

Det lyder rimeligt.

Men hvorfor så egentlig overhovedet tillade brug af CPR-numre til formål, hvor der ikke er behov for at sammenkøre registre med det offentlige? Udover min arbejdsgiver og min bank er det vel de færreste virksomheder, der udveksler oplysninger om mig med offentlige myndigheder.

  • 1
  • 1
Per Erik Rønne

En simpel løsning kunne være: Når en person (borger) slås op i CPR sendes der i første omgang ikke svar tilbage til virksomheden, men en NEMSMS til borgeren med navnet på virksomheden og en pin-kode, som virksomheden skal benytte i et opfølgende request til CPR for at kunne få bekræftende svar fra CPR.

Det ville simpelthen blive alt for besværligt for ganske almindelige danskere.

Og kun for at tilfredsstille en forsvindene lille antal mennesker, der lider af registerfobi.

Næh, lad os i stedet lade CPR-registeret (med navn og adresse) være offentligt tilgængeligt. Idet der naturligvis bør være mulighed for at enkelte borgere kan få sine data skjult, da der jo er nogle der bliver chikaneret eller det der er værre.

En anden ting er, at vi trænger til et nyt CPR-nummersystem, idet manglen på valide numre har gjort at man har fundet sig nødsaget til at droppe modulo-11 checket. Lad os i stedet få et system af typen:

ååååmmdd-lllc,

eventuelt med længere løbenummer, hvis det skal indføres på fælles EU-plan. Eller for den sags skyld FN-plan.

Men alene den her foreslåede løsning vil betyde en 3-dobling af antallet af mulige numre, idet løbenummeret også indeholder oplysninger om århundrede, i dag 1800-, 1900- og 2000-tallet.

Samtidig vil placeringen af fødselsdata efter ISO-standarden lette sortering efter fødselsdato ...

  • 0
  • 4
Baldur Norddahl

Det rigtige redesign af CPR vil være helt at droppe konceptet med at du er et nummer.

Dit sygesikringsbevis skal ikke indeholde et nummer der unikt identificerer dig som person. I stedet skal det bare have et kort-nummer der identificerer kortet. Hvis du får et nyt sygesikringsbevis, så får du også et nyt nummer.

For at omsætte til en unik person identifikation må en myndighed eller virksomhed spørge CPR-registret. Såfremt de har ret til det, så får de et løbenummer der er unik for kun deres virksomhed. Således at DSB og din bank får to forskellige værdier til at identificere dig.

Kun på den måde forhindres effektivt at de spørger efter et nummer, som du slet ikke kender og som de alligevel ikke vil kunne verificere. Det forhindres endvidere at en ansat hos en virksomhed, bruger virksomhedens registre til at opnå adgang hos andre. Hvis en virksomheds database bliver hacket, så er data ubrugelig for andre virksomheder plus det er muligt simpelthen at annullere alle tildelte løbenumre til virksomheden.

Hvis man vil have lidt ekstra sikkerhed, så bør sygesikringskortet naturligvis slet ikke have et fast nummer. Det kan være et smart card med et nummer der skifter hvert minut. Eller endnu bedre, giv kortet en QR-scanner, så det kan lave koder der passer til den forventede modtager. Så har vi også grundrammen for en erstatning for NemID der faktisk er nem og rimelig sikker.

  • 3
  • 0
Henrik Biering Blogger

Det ville simpelthen blive alt for besværligt for ganske almindelige danskere.

Så er det vel også for besværligt for almindelige danskere med dobbelt opt-in til nyhedsbreve, som er en ganske "low value transaction"

Og kun for at tilfredsstille en forsvindene lille antal mennesker, der lider af registerfobi.

Næh, lad os i stedet lade CPR-registeret (med navn og adresse) være offentligt tilgængeligt. Idet der naturligvis bør være mulighed for at enkelte borgere kan få sine data skjult, da der jo er nogle der bliver chikaneret eller det der er værre.

Du er åbenbart tilhænger af stats-formynderi, hvor staten skal vælge på dine vegne, om dine data skal være frit tilgængelige eller ej.

Omvendt er vi nogle der gerne selv vil kunne bestemme. Så vi kunne da let finde ud af at lave 4 valg på cpr.dk: * Fri adgang til alle mine data * Staten bestemmer adgangen til mine data hos det offentlige (kan for eksempel auktionere adgangen til fordel for statskassen) * Jeg bestemmer selv (bortset fra lovbestemt adgang) hvem der kan tilgå mine forskellige typer data hos det offentlige (åben/lukket/spørg) * Kun lovbestemt adgang

For nogle vil måske gerne have offentliggjort navne og adresse, mens andre hellere vil have offentliggjort deres helbredsdata, så de kan få tilsendt kostråd og diagnoser fra hele verden, men gerne vil mindske risikoen for at få tilsendt tæskehold fra tilfældige folk de er uenige med.

eventuelt med længere løbenummer, hvis det skal indføres på fælles EU-plan. Eller for den sags skyld FN-plan.

Det bliver det ikke aktuelt, for i flere lande har man mere fokus på privatlivsbeskyttelse end i Danmark, og bygger moderne IT-systemer jf. det jeg og Baldur Norddahl har beskrevet ovenfor.

  • 2
  • 0
Log ind eller Opret konto for at kommentere