Vestager: NemID skal erstatte CPR-validering ved nethandel

En ny lov giver nu mulighed for at få nyt CPR-nummer ved misbrug. Samtidig vil regeringen afskaffe CPR-validering på nettet og erstatte det med NemID-login.

En række nye tiltag skal nu gøre det sværere for svindlere at udgive sig for at være andre og for eksempel købe varer på kredit.

Folketinget har således onsdag vedtaget en lov, der gør det muligt at skifte CPR-nummer, hvis man har været udsat for alvorligt identitetstyveri. Det oplyser Økonomi- og Indenrigsministeriet. Loven træder i kraft den 1. april, og det er CPR-kontoret, som vurderer, hvornår det er nødvendigt med et nyt CPR-nummer.

Men at skifte CPR-nummer er en sidste udvej, hvis det allerede er gået galt, så med i pakken af tiltag er også at få afskaffet CPR-validering på nettet. Valideringen sker gennem et opslag i Folkeregistret, men svindlere kan med kendskab til et CPR-nummer og tilhørende navn og adresse ’bestå’ denne prøve. I stedet skal der fremover logges ind med NemID, skriver ministeriet.

Generelt skal butikker fremover bruge NemID meget mere, lyder meldingen.

»Regeringen har over for erhvervslivet understreget behovet for grundig identitetskontrol af kunder, og at dette med fordel kan gøres med NemID,« skriver ministeriet.

Brugen af CPR-nummer som en hemmelig oplysning, en slags password, har gennem årene været kritiseret fra mange kanter, især fordi det er relativt nemt at finde frem til folks CPR-numre, hvis man kender fødselsdatoen.

Det demonstrerede den dengang it-studerende Søren Louv-Jansen gennem et 'CPR-lotteri', hvor man skulle gætte på danske toppolitikeres CPR-numre ud fra fire valgmuligheder. Det kostede ham et besøg fra politiet, en politianmeldelse og i første omgang en bøde på 10.000 kroner, som han dog ved at tage sagen til domstolene fik nedsat til 3.500 kroner.

Læs også: CPR-Søren får bødestraf for at vise ministres cpr-numre

Læs også: CPR-Søren: Vestager løser slet ikke problemet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Bjerregaard-Pedersen

Hvad er det for netbutikker hvor man kan betale med sit cpr-nr og ikke skal hive et kredit/debet-kort frem?
Jeg kan ikke mindes jeg er stødt på en sådan.

Dumt spørgsmål nummer 2: hvis man skal angive cpr-nr, navn og adresse tillader butikken så virkelig at varen sendes til en anden adresse?

og så lige nummer 3: hvorfor ikke bare vedtage at butikker der er så lemfældige i deres bruger-validering selv må tage eventuelle tab?

  • 16
  • 4
Thomas Larsen

Jeg forstår ikke hvorfor alternativet til at bede om cpr-nummer skal være den dødsstjerneløsning som NemID er.

Jeg er kunde hos et firma der overvåger min tyverialarm. Når jeg skal ringe ind til dem og afmelde en alarm er det nok at jeg oplyser et kodeord som vi har aftalt på forhånd. Det kan for eksempel være "luftfrikadeller" eller noget.

På samme måde har jeg med min bank aftalt at jeg skal sige "skipperlabskovs" i telefonen og i skranken som bevis på at jeg er den jeg er når jeg vil have dem til at betjene mig.

Hvorfor skal man tvinge en monopolløsning ned over en masse borgere som bare vil have mulighed for at aftale et kodeord med deres leverandører når de ringer til support?

  • 18
  • 2
Kenneth Østrup

Det åbner så vidt jeg ser det op for en masse phishing muligheder, når nem-id appletten dukker op på alle mulige mærkelige webshops. Én ting er om kreditkortoplysningerne bliver stjålet, en anden ting er NemID!

Dan-ID har jo allerede anbefalet brugerne at klikke 'yes' til certifikat warnings.

  • 15
  • 2
Jan Warming

Tror i har misforstået brugen af CPR validering. CPR validering har f.eks. været brugt af DBA, diverse auktionssites, datingsites mv. Formålet er man man skal validere at adresse oplysninger, navn e.lign. er korrekt, og det valideres via en CPR validering. Denne type opslag kan godt erstattes af NEMID, problemet kommer først når man begynder at snakke om systemer som får deres input via sygesikring, f.eks tandlægesystemer, lægesystemer o.lign. de systemer validere typisk at date fra sygesikring er korrekt ved at cpr validere.

  • 4
  • 3
Frithiof Andreas Jensen

Hvorfor skal man tvinge en monopolløsning ned over en masse borgere


Fordi ingen önsker "lösningen" - ud over "ministeriet" og de som köbte NETS.

Kunderne gider heller ikke balladen. Det er präcis som hos köbmanden: Hvis man kan köbe den samme vare et andet sted hvor de tager kreditkort direkte og hvor man ikke först skal "oprette en konto" förend man allernaadigst må få lov til at betale (med spam 4ever) så er det naturligvis der omsätningen söger hen.

  • 7
  • 0
Martin Nielsen

Det er ærgerligt at de ikke gennemtænker det og laver en god løsning.

NemID-løsningen betyder at virksomhederne fortsat vil have vores CPR-numre i deres databaser, så sikkerheden bliver ikke øget betydeligt.

I stedet burde de have lavet en løsning, hvor de uddelte unikke CPR-numre til hver virksomhed man er forbundet til - som man kender det fra API'er til eks. sociale medier. Får en virksomhed derefter indbrud, vil det være muligt at erstatte alle CPR-numre og oplyse borgerne om det.

Der vil dog være få områder, hvor CPR-nummeret vi kender i dag fortsat skal være gyldigt. Det skal eks. være hos lægen og på hospitalet. Og i de tilfælde hvor det kommer til erstatning af personlige papirer (herunder kørekort og pas), burde det udvides med fingeraftryk som "adgangskode". Fingeraftryk findes allerede i nye pas, og kunne derfor fint bruges som identifikation ved udstedelse af nyt.

  • 1
  • 5
Morten Saxov

vad er det for netbutikker hvor man kan betale med sit cpr-nr og ikke skal hive et kredit/debet-kort frem?
Jeg kan ikke mindes jeg er stødt på en sådan.

Dumt spørgsmål nummer 2: hvis man skal angive cpr-nr, navn og adresse tillader butikken så virkelig at varen sendes til en anden adresse?

og så lige nummer 3: hvorfor ikke bare vedtage at butikker der er så lemfældige i deres bruger-validering selv må tage eventuelle tab?


1) Der er butikker der tillader køb via Paypal, o.l. som ikke nødvendigvis har en tilknyttet "ægte identitet"

2) Ja, de stor del af webshops tillader en fakturerings adresse og et leverings adresse, bl.a. i forbindelse med udsendelse af gaver o.l. Tænk fx på Interflora, her er der en der køber og betaler, og blomsterne skal typisk leveres til en anden adresse.

3) Sikkert fordi man gerne vil helt væk fra at butikker bruger CPR nummer til noget som helst.

  • 5
  • 1
Frithiof Andreas Jensen

Tror i har misforstået brugen af CPR validering.


Det tror jeg ikke så ikke.

Det jeg funderer over, det er: Hvilken värdi skaber det? Står den påståede värdi i rimeligt forhold til at komplicere forretningsprocessen og udelukke f.eks. udenlandske kunder? Vil NETS eventuelt sänke gebyret på kortbetalinger for e-butikker som verificerer med NemID nok til at det kan betale sig?

  • 0
  • 1
Søren Jensen

2) Ja, de stor del af webshops tillader en fakturerings adresse og et leverings adresse, bl.a. i forbindelse med udsendelse af gaver o.l. Tænk fx på Interflora, her er der en der køber og betaler, og blomsterne skal typisk leveres til en anden adresse.

Nu skal man jo ikke bruge cpr-nummer i forbindelse med køb af blomster og chokolade hos Interflora.

Jeg vil tro at man skal angive cpr-nummer i forbindelse med køb af en vare på afbetaling og/eller med løbende abonnement som f.eks. en mobiltelefon.

  • 3
  • 0
Jan Warming

Jeg kan godt høre på dig at du ikke tror du har misforstået det, men det har du nu tydeligvis alligevel. CPR validering bruges ikke til handler med kreditkort, eller lign. Det bruges til at validere CPR op i mod navn og adresse. Det kunne bruges af virksomheder som efterfølgende sender en regning (f.eks. medlemskab), altså en form for kredit. Eller sites som gerne vil sikre sine andre brugere noget sikkerhed for at den de snakker med har oplyst korrekte oplysninger. Det er nok de færreste forretninger/foreninger der vil give kredit til anonyme personer fra udlandet. Tror du virkelig der kommer en lov som kræver NEMID login til webshops, for så vil jeg nok betegne dig som lidt naiv.

  • 4
  • 1
Jan Warming

Ja det ville jeg også gøre hvis jeg havde en webshop, (men det er jo heller ikke det samme som CPR validering) for så kunne jeg få persondata automatisk til bruger oprettelse, men det giver ingen ekstra sikkerhed i den forbindelse, da betalingen er dækket af behandlingsgarantien på indløsningsaftalen.

  • 0
  • 0
Jesper Poulsen

Og i de tilfælde hvor det kommer til erstatning af personlige papirer (herunder kørekort og pas), burde det udvides med fingeraftryk som "adgangskode". Fingeraftryk findes allerede i nye pas, og kunne derfor fint bruges som identifikation ved udstedelse af nyt.


Fingeraftryk er ikke sikker identifikation. Du kan ikke få ny biometri i tilfælde af kompromittering. Og fingeraftryk er blevet kompromitteret. CCC og Myhtbusters har begge haft held med det (uafhængigt af hinanden).

  • 3
  • 0
Finn Christensen

»Regeringen har overfor erhvervslivet understreget behovet for grundig identitetskontrol af kunder, og at dette med fordel kan gøres med NemID,« skriver ministeriet.

Vi alene vide!

Jeg ved godt at den stakkels minister, Margrethe Vestager, ikke fatter elektronisk sikkerhed og det her it, for det så vi jo til fulde i forbindelse med et ynkelige forsøg på af sælge elektronisk valg.

Nu foretager ministeren desværre igen det samme stunt, alene fordi hendes ~45 år gamle CPR med tilkoblede systemer, som jo er ministerens ansvar, endnu til d.d. aldrig blev gentænkt, renoveret eller sikret til nutidig elektronisk niveau.. "vi flytter lige problemet, så glemmer vælgerne det".

Endnu engang glemmes alt om privacy by design[1]. Vi havde et bankIDsystem som fik tilbygget en offentlig del OCES, tilsammen 'NemID'.

Men NemID er ikke bankernes kæledække mere - de har lige solgt guldgåsen for 17 mia. og tænker kun på nye forretninger.

Men ministeren tror NemID kan lappe hendes SCR problem. NemID skal magte noget nyt, som ingen har gennemtænkt de fulde konsekvenser af. En vaskeægte Vestager er født.

Gebyrtælleren hos Nets bliver glødende - ren foræring lige ned i lommen på pengetankene et par dage efter salget.

Kære minister tænk dog på 'Konen med æggene'[2] - alle æggene på et sted, og konen kom noget så grueligt galt af sted.

Skal YYY for alt på nettet, betalinger via i min bank XXX og mit brug af digital flytning til adresse ZZZ (+ tinglysning) samt opskrivning af barn, med navn QQQ til børnehave BBB via borger.dk logges i og via et og samme system ?

Danmark har til dato med sladder-databasen NemID vist os det mest uhyggelige eksempel på manglende privacy by design[1].

Logning (= koncentration) af massive mængder økonomiske transaktioner, plus hvad erhvervslivet og kvasioffentlig virksomhed ellers finder på at bruge NemId til, det gør jo Nets med deres baser livsfarlige for samfundet, hvis der sker fejl, nedbrud eller datatab. Om driftsforstyrrelser sker utilsigtet, ved hændeligt uheld eller som bevidst handling med henblik på at skade samfundet eller stjæle er jo uden betydning.

Politisk set har vores 177 digitale analfabeter på borgen endnu ikke fattet hvor farligt Nets og vores offentlige sladder by design systemer er i de forkerte hænder. (179-2) Vestager samt Trine Bramsen har andet i hovedet og er udenfor pædagogisk rækkevidde.

[1] http://en.wikipedia.org/wiki/Privacy_by_Design
[2] http://www.hcandersen-homepage.dk/?page_id=7363

  • 12
  • 0
Jacob Pind

Hvorfor er det iheletaget nødvendigt med den slags tåbelige kontrol ting, når jeg handler ved amazon, ebay, eller andre virksonheder som ikke er at finde i danmark, er det dem fuldt ud nok med et kreditkort, og leverings address, så hvorfor danske virksomheder skal fedte rundt med cpr eller nemid, er da mildes talt forunderligt.

En ting er da sikkert, den slags anmasende nemid eller cpr validerings forsøg vil få mig til at find varen i en udenlandske butik istedet.

  • 5
  • 0
Henrik Madsen

Nej da, nogle firmaer ifm. betalingskort kobler nu også validering via NemID på. Har da selv oplevet fænomenet.

Haha.

Ja det kender jeg godt det der.

Skulle købe 2 mini PC'er hos en leverandør, de kostede ~2500 Kr stykket.

Lagde 2 i indkøbskurven og ville betale men blev så bedt om at taste en "Verified by Visa" kode ind.

Denne kode havde jeg så ikke oprettet så det mente butikken da lige jeg skulle gøre.

Jeg har ikke NemID og har aldrig haft det, så det var jo rimeligvis umuligt at verificere mig på denne måde.

Ved kontakt til netbutikken fik jeg forklaret at det var fordi alle køb over 3000 Kr. skulle betales med VISA delen af mit kort, fordi det så skulle være mere sikkert.

Firmaet havde gratis fragt så løsningen blev at jeg bestilte en mini computer, betalte for den og da jeg havde fået bekræftet at de ville sende den så bestilte jeg blot en mere.

Dette kunne så lade sig gøre fordi jeg jo købte for mindre end 3000 Kr. når jeg bestilte dem hver for sig.

Totalt tåbelig løsning, men heldigvis for butikken kunne det da lade sig gøre, alternativet for butikken ville jo være de mistede salget.

  • 8
  • 0
Henrik Madsen

Lad os låse hele samfundet ENDNU mere fast til NemID så det bliver ENDNU sværere at få lortet smidt på gaden når kontrakten skal forny's i 2017.

Gid de ville lave noget som var ordentligt, gav mig som bruger, fuld kontrol over min digitale identitet og som var lavet så smart og fikst at jeg fik lyst til at bruge det af mig selv så de ikke var nødt til at tvinge det ned i halsen på os.

  • 9
  • 0
Jesper Poulsen

Jeg har liget skrevet til ministeren omkring det tåbelige i at forlade sig på et papkort (eller en nøgleviser) som Jacob Møllerhøj så fint demonstrede sårbarheden ved for et par år siden. Hvis nogen skulle have glemt hvordan, så er der et link til historien herunder:
http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396

Hvis vi endeligt SKAL bruge NemID, så må det være "NemID på hardware":
https://www.nemid.nu/dk-da/privat/nemid_paa_hardware/

  • 3
  • 0
Henrik Madsen

Jesper, ikke at jeg ikke sætter pris på at du skriver til ministeren, men jeg må dog påpege at hun er Radikal og den slags er totalt ligeglad med hvordan verden i virkeligheden ser ud, de regerer kun ud fra deres egen forestilling om hvordan verden ser ud.

Der er efterhånden SÅ mange områder hvor man ville ønske der var en (realistisk) mulighed for at vi borgere kunne tage magten igen, men jeg kan desværre ikke se nogen muligheder (Udover noget væbnet revolution's himham og det er jo heller ikke optimalt).

  • 10
  • 1
Folmer Fredslund

Så vidt jeg husker bliver det sagt i debatten (af dem der forsvarer NemID) at man bare kan fravælge NemID hvis man ikke ønsker at bruge det.

Bliver den argumentation stadig brugt? Jeg synes i hvert fald, det efterhånden er meget svært

  • 7
  • 0
Henrik Madsen

Så vidt jeg husker bliver det sagt i debatten (af dem der forsvarer NemID) at man bare kan fravælge NemID hvis man ikke ønsker at bruge det.

Bliver den argumentation stadig brugt? Jeg synes i hvert fald, det efterhånden er meget svært

Jo jo men det var jo i 2011 at Helge Sander lovede at ingen ville blive tvunget til at bruge NemID.

Indtil videre må jeg konstatere at han faktisk har ret, jeg har ikke NemID og jeg har ikke været TVUNGET til at bruge NemID endnu. (Altså udover den ene gang hvor min kommune valgte at bruge 5-10 timers sagsbehandling på at forsøge at tvinge mig til det, inden de fandt ud af at det var spild af deres tid at svare på skrivelser, klager, agtindsigter og så videre, fordi det kun ville tage dem 2 minutter at taste oplysningerne ind manuelt fra den formular jeg havde sendt dem).

Jeg er faktisk ved at være nået dertil at udtalelser fra politikere burde være ansvarspådragende i en sådan grad at siger Helge Sander f.eks i 2011 at folk ikke skal tvinge til NemID, ja så vil den som bryder sådan et løfte være hjemfalden til straf efter straffeloven.

Hvad er et politikerløfte værd hvis embedsvældet og andre politikere blot skider på sådan et løfte efter kun 3 år.

  • 9
  • 1
Hans Andersen

Så vidt jeg husker bliver det sagt i debatten (af dem der forsvarer NemID) at man bare kan fravælge NemID hvis man ikke ønsker at bruge det.

Bliver den argumentation stadig brugt? Jeg synes i hvert fald, det efterhånden er meget svært


Jeg tog lige et kik på forskellige sider:
Borger.dk, sundhed.dk og visse ting på min kommunes hjemmeside (nyt pas, nyt kørekort, flyttemelding) kræver nemid, digital signatur eller nemlog-in (som kræver en af de to andre).
E-boks.dk kræver nemid eller digital signatur. E-boks bliver et krav fra 1. november, men svjv er der en opt-out mulighed.
Skat.dk tilbyder yderligere en tast-selv kode.

Selv er jeg stadig uden OCES, men som du siger bliver det sværere og sværere.

  • 2
  • 0
Henrik Madsen

E-boks.dk kræver nemid eller digital signatur. E-boks bliver et krav fra 1. november, men svjv er der en opt-out mulighed.

Som en anden også siger, det er Digital postkasse som bliver obligatorisk efter november 2014.

Men som du også selv er inde på er der opt-out mulighed og det er faktisk ret nemt.

Gå ned på din lokale kommune og henvend dig i informationen, der får du udleveret en formular som du skal udfylde og så er du frameldt ordningen.

Dog er du kun frameldt i 2 år, efter de 2 år modtager du et brev med besked om at du skal ansøge om fritagelse igen hvis du stadigvæk overholder kravene.

Du skal ved afmelding angive at du ikke er istand til at læse din digitale post digitalt men de må ikke forlange at du angiver hvilken af de mulige grunde der er som du opfylder.

Det er faktisk muligt at du melder dig fra selvom du har internet i huset og der er PC'ere i husstanden. Dette er muligt hvis PC'eren tilhører en anden og er personlig og du ikke selv har en PC.

Jeg læste faktisk et sted (Mener det var en vejledning til personalet på borgerservice) at de forventer at op mod 20% af befolkningen vil søge om fritagelse.

De har for resten også meget travlt med at pointere at man skriver under, under ansvar for en eller anden lov.

Altså sådan en slet skjult trussel om at finder de ud af at man har frameldt sig selvom man ikke opfylder deres snævre kriterier så risikerer man at blive straffet efter straffeloven.

Meget drakonisk.

PS. Husk at bede dem om at angive i deres computer at du ønsker en kvittering tilsendt, på den måde spilder du både deres tid og bruger deres penge på breve og frimærker. De siger jo de regner med at spare penge, så det gælder om at sørge for at det bliver så dyrt som muligt, for at vise dem de tog fejl.

  • 4
  • 1
Peter Kyllesbeck
  • 3
  • 3
Michael Bjerregaard-Pedersen

@Jan Warming: Du har ret. Jeg har muligvis misforstået udtrykket CPR-validering.

@Morten Saxov: Ved Paypal er man vel kædet sammen med et kreditkort, så vidt jeg husker, (det er længe siden jeg har brugt paypal.) og der er var så vidt jeg husker ikke CPR blandet ind.
Interflora og lignende giver vist ikke mulighed for at købe på klods og få regningen tilsendt.

Det jeg refererede til var historierne om folk der nærmest blev ruineret fordi en tyv anvendte deres CPR-nr til at købe ting og sager på nettet og i forretninger. Jeg er formentlig for regelret og dermed naiv til at forstå hvordan f... det kan lade sig gøre, når varen ovenikøbet skal sendes til en adresse end CPR-nummer/sygesikringskort peger på.

  • 2
  • 0
Henrik Madsen

Dum ide! Det er vores penge, der vil blive brugt til den slags unødig tilkendegivelse af protest.

Jeg har ikke lavet de tudetossede regler som gør at alle skal tvinges til at bruge deres skodsystem.

Den eneste måde man kan vise dem at deres system er noget lort er ved at gøre alt hvad man kan for at det bliver så dyrt som muligt for det lader til at den eneste parameter som der styres efter er penge.

Desuden stoler jeg ikke mere på dem end at jeg gerne vil have en kvittering så jeg er SIKKER på at de ikke laver julenumre.

  • 6
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize