Har du en persons fødselsdato, kan det hurtigt omsættes til et fuldt CPR-nummer, fordi der på nogle websider er mulighed for at lave mange hurtige opslag i det officielle personummerregister. Nogle private firmaer har nemlig online-formularer til oprettelse af nye kunder, og er der ikke sat begrænsning på antallet af opslag, vil en hurtig brute-force-øvelse kunne afsløre et CPR-nummer.
Problemet kom til debat igen, da TV2 i april tog det op i et nyhedsindslag, som en opfølgning på tidligere historier om samme sikkerhedshul. I indslaget finder en it-studerende frem til Margrethe Vestagers CPR-nummer på under to minutter.
Det har fået Folketingets Retsudvalg til at spørge økonomi- og indenrigsministeren, hvad der bliver gjort for at lukke hullet.
Svaret er 'ingenting', for Margrethe Vestager mener, at systemet er fint nok, som det er i dag. Ifølge reglerne må en virksomhed ikke give ubegrænset adgang til opslag i CPR-databasen, og sker det, kan virksomheden få afbrudt adgangen til registret. Der er løbende kontrol med det, pointerer ministeren, for eksempel blev 115 virksomheder tjekket i efteråret 2012.
Retsudvalget foreslår derudover, at man fra centralt hold kunne spærre for opslag på bestemte CPR-numre, hvis der er misbrug. Men det vinder ikke genklang hos Margrethe Vestager.
»Det er min opfattelse, at den nuværende ordning understøtter en saglig og fornuftig anvendelse af CPR. Det er endvidere min opfattelse, at indførelsen af et system med mulighed for en form for central spærring af et personnummer i CPR ikke er hensigtsmæssig. En central spærring kan være relevant til beskyttelse af hemmelige PIN-koder og kodeord – ikke til beskyttelse af et personnummer, som mere kan betragtes som borgerens journalnummer i offentlige og private systemer,« skriver ministeren i svaret.
Problemet er også, at hvis en person oplever misbrug af et CPR-nummer, vil det være for sent at spærre for adgangen til opslag i CPR. For så er CPR-nummeret jo allerede kendt af andre, pointerer hun.