Vestager: »Personnummeret er en fortrolig oplysning, men vi skal hverken betragte det som et password eller en pinkode«

Økonomi- og indenrigsministeren mener, det er vigtigt ikke at gøre cpr-nummeret til mere end det er, men kalder det dog samtidig en fortrolig oplysning.

I kølvandet på historien om, at det ved at kende et navn og en fødselsdato på en person er muligt at gætte sig frem til folks cpr-numre via hjemmesiden for den digitale tinglysning, har Version2 forsøgt at indhente en kommentar fra økonomi- og indenrigsminister Margrethe Vestager (R).

Hun er den ansvarlige minister på cpr-området, dog ikke for den digitale tinglysning, der hører under domstolsstyrelsen og dermed justitsministeriet. Det er foreløbigt blevet til følgende skriftlige kommentar, som lader til at være sendt til flere medier:

»For mig er det vigtigt, at vi ikke gør personnummeret til mere, end det er, nemlig et glimrende system som samfundet har stor gavn af. Derfor skal virksomheder f.eks. anvende NemID i stedet for såkaldt CPR-validering. Personnummeret er en fortrolig oplysning, men vi skal hverken betragte det som et password eller en pinkode – så gør vi os selv en bjørnetjeneste,« står der i svaret fra ministeren, sendt via ministeriets presseafdeling, som fortsætter:

»Jeg synes, at der i offentligheden er skabt vel mange myter om personnummeret, og hvad det egentlig kan bruges til, og at det nu udnyttes af politiske aktivister, som bl.a. har offentliggjort statsministerens personnummer i en smagløs aktion. Jeg ser i udgangspunktet ingen grund til at ændre i personnummersystemet.«

I den forbindelse ville Version2 gerne have stillet nogle opfølgende spørgsmål. I første omgang foreslog vi et fem minutters telefoninterview. Det har ikke kunnet lade sig gøre med henvisning til, at ministeren er optaget af andre ting i dag torsdag og i morgen fredag.

Læs også: Professor og Forbrugerråd: Stram op på cpr-lovgivning

I stedet har Version2 sendt følgende spørgsmål på skrift i håb om at få en tilbagemelding fra økonomi- og indenrigsministeren på den måde.

Hvordan forholder ministeren sig til, at det såvidt vides i skrivende stund stadig er muligt at gætte sig frem til vilkårlige danskeres cpr-numre ud fra en fødselsdato på hjemmesiden for den digitale tinglysning, og at retspræsident Søren Sørup Hansen i den forbindelse ikke mener, der er tale om et sikkerhedshul på hjemmesiden?

Hvorfor er cpr-nummeret ifølge ministeren en fortrolig oplysning?

Mener ministeren, cpr-nummeret i realiteten er at betragte som en fortrolig oplysning, når det såvidt vides stadig er muligt at gætte sig frem til vilkårlige personers cpr-numre via hjemmesiden for den digitale tinglysning?

Hvad mener ministeren med, at vi gør os selv en bjørnetjeneste, hvis vi betragter cpr-nummeret som et password eller en pinkode?

Hvilke myter, mener ministeren, der er skabt i offentligheden i forhold til, hvad personnummeret egentlig kan bruges til?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm

Med det antal personer der skal behandle mit CPR-nummer for at jeg kan være frivillig leder for børn, arbejdstager, bankkunde, telekunder og så videre er det en fuldstændig absurd tanke at betragte CPR-nummeret som fortroligt.

  • 56
  • 1
Erik Cederstrand

Og hvis disse "myter om personnummeret, og hvad det egentlig kan bruges til" kun er myter, hvorfor er der så overhovedet brug for at opretholde en fortrolighed?

Enten kan personnummeret anvendes til at skaffe oplysninger om en person, som man ikke ellers ville kunne fremskaffe, eller også kan det ikke, og så er der ikke brug for nogen fortrolighed. Men måske tænkes der på, at personnummeret i sig selv lækker fortrolige oplysninger om personens alder og typen af kønsdele i understellet (har hørt, at Stephen Kinnock i virkeligheden er en kvinde - you heard it here first!).

  • 21
  • 1
Martin Kofoed

Mod denne slags argumenter er det eneste modsvar nok én gang for alle at offentliggøre/lække samtlige danske CPR-numre. Så falder argumentet i hvert fald til jorden, og man kan måske begynde at fokusere på de reelle udfordringer. Det er så himmelråbende, at man ikke fikser problemet, men i stedet forsøger at hacke rundt om det ved at stille nogle bizarre præmisser på benene.

  • 18
  • 1
Magnus Jørgensen

Men det kan være at vi ikke skal gøre hende til mere end hun er. I dette tilfælde, en politiker der ser sig nødt til at svare som hun gør.

For det er jo totalt meningsløse udtalelser hun kommer med i denne sag.

Der hvor vi muligvis kunne se hende træde i karakter, ville være hvis hun bag de politiske facader bergynder at arbejde på en bedre løsning.

  • 10
  • 1
Jakob Sørensen

Hvis vi antager at ens fødselsdag (inkl. årstal) ikke er fortrolig, så er vi nede på at det kun er de sidste 4 cifre der er fortrolige. Med CPR-numrets opbygning kan de som bekendt kun være et par hundrede forskellige muligheder, som så kan prøves af (hvis man kender personens navn) på en offentlig hjemmeside. Det tager vel et par timer max (hvis ikke man da laver en bot til det).

Og det er udover at man som nævnt har givet det videre til bank, teleselskab, A-kasse osv. Jeg synes immervæk ikke at det virker særlig fortroligt.

  • 18
  • 0
Morten Hansen

Som en supplerende anekdote, blev jeg en dag passet op et butikscenter i Kbh, af en sælger for en dansk nødhjælps NGO. Smilende kom hun hen og præsenterede deres produkt, og spurgte derefter om fødselsdato. Lidt modstridende oplyste jeg om den "..og de sidste fire cifre i dit CPR" (?)
WHAT tænkte jeg - efter at have NETS sagerne i frisk erindring.
"Ja, så vi kan jeg kan slå din adresse op."
1 ønskede jeg ikke at de skulle have min adresse uanset om hendes løfter om ikke at sende materiale.
2 ønskede jeg ABSOLUT ikke at udlevere mit CPR-nummer, til en sælger i et butikscenter en tilfældig tirsdag i Kbh, hun kunne taste ind på sin IPad.

CPR bliver brugt i alt fra Medicinering, patient-journaler, kreditværdighed, skatteoplysninger, straffeattest ... til mulig abonnement på en NGO.

CPR bruges (alt for) mange steder som en nem løsning til at hente diverse praktiske oplysninger om en borger, i forhold til hvor mange andre steder mere personlige og vitale oplysninger kan spores via dette simple index.

Håber Vestager og resten af regeringen snart forstår at vi skriver 2014 og ikke 1968

  • 14
  • 0
Tine Andersen

At danske biblioteker anvender cpr som en del af login på Ereolen, og forresten også, hvis man låner fysiske bøger.
Men ok, det er sikkert ikke et problem!
Det fremgår ikke nogen steder, om disse data krypteres!

Men pyt, så længe man ikke låner "Sådan bygger du selv bomber" eller noget. ;-)

Mvh
Tine

  • 7
  • 0
Joe Sørensen

Nu skal vi ikke gøre hendes udtalelse dummere end den er.

CPR nummeret er fortroligt. Ligesom dit telefon nummer, hvis du har hemmelig nummer. Du må ikke oplyse det, hvis du ikke først har kontrolleret om de er hemmeligt. Men ligesom telefonnummeret kun kan bruges til at ringe tid dig ( og nogen steder aflytte din telefonsvarer :-) ), så kan CPR nummeret også kun bruges som en erstatning for at skrive navne, adresser og kommune.

Problemet er, at der så stadig er nogen der tror at CPR nummeret giver adgang til anden information. Og at nogen der tror dette, faktisk sidder og giver oplysninger i bytte for et CPR nummer. Det er her vi har problemet.

  • 6
  • 7
Peter Makholm

CPR nummeret er fortroligt.


Det er så der jeg mener at du og Vestager tager fejl. Vi forventes at opgive vores CPR-nummer så ufatteligt mange steder at det ikke giver mening at betragte det som fortroligt.

  • Ledelsen i mine spejdergrupper skal bruge mit CPR-nummer for at tjekke om jeg er pædofil.
  • Banken skal bruge mit CPR-nummer hvis nu jeg skulle finde på at hvidvaske penge
  • Mit teleselskab skal bruge mit CPR-nummer hvis nu jeg var terrorist
  • Min arbejdsgiver og Læger uden Grænser skal bruge mit CPR-nummer for at kunne rapportere ind til skattevæsnet
  • Apoteket skal bruge mit CPR-nummer for at finde min recept og for at håndtere medicintilskud.
  • Bibliotekaren skal lige skanne mit sygesikringsbevis for at oprette mig som låner
  • Rejsekortet.dk vil have mit CPR-nummer, uvist af hvilken grund
  • De fleste rejseselskaber efterspøger en kopi af mit pas - indenholdende CPR-nummeret - hvis jeg vil rejse med dem.
  • Lægesekretæren, som jeg aldrig tidligere har set hos min læge, skal selvfølgelig se mit sygesikringsbevis før jeg kan få nogen adgang til sundhedssystemet.

Der er måske en eller to af disse jeg betragter som specielt betroede. Resten er bare tilfældige mennekser jeg møder på min vej gennem livet og ikke nogen jeg har specielt tiltro til at kunen behandle fortrolige oplysninger ud over hvad der direkte omfatter vores transaktion.

Det giver absolut ingen mening at opfatte CPR-nummeret som fortroligt! Der er alt for mange som det forventes at jeg giver det til.

Adgang til CPRWeb koster 250,- om måneden og 3 kroner per søgning. Her kan man få adgang til addressedata hvis man bare kender personens CPR-nummer. Det er en smule mere omkostningstungt end at (mis)bruge tinglysningens adgang, men basalt set er det samme ydelse bare købt kommercielt direkte hos kilden. Man selvfølgelig ikke vidergive oplysninger, men det er så billigt og let at få adgang til at data ikke kan betragtes som fortrolige.

  • 30
  • 0
Thomas Jensen

Margrethe Vestager siger

"Jeg synes, at der i offentligheden er skabt vel mange myter om personnummeret, og hvad det egentlig kan bruges til"

og Socialdemokraternes it-ordfører Karin Gaardsted siger i Politiken

http://politiken.dk/indland/politik/folketinget/ECE2320243

"Jeg tilhører ikke dem, der bliver så forfærdeligt foruroligede over, at Cpr-numre bliver lækket. I sig selv er det ikke rigtig farligt, det de har gjort. Hvis sikkerhedssystemerne virker, kan man ikke bruge cpr-nummeret i sig selv til noget som helst."

Har de ret i det? Hvor og til hvad kan man misbruge cpr-oplysninger? Det kunne være godt med nogle eksempler på hvor man, kun med cpr-nummeret og et navn, kan lave "ulykker".

Ja, jeg ved at man i mange tilfælde kan ringe til kommunen og få dem til at gøre ting, ændre adresse eller lignende, alene ved at oplyse cpr-nummer - men er det netop ikke et eksempel på et sikkerhedssystem der ikke virker, og at det er det der er problemet?

På hvilken måde er det kritisk at andre kommer i besiddelse af mit cpr-nummer?

  • 1
  • 1
Jacob Hansen

Fortroligt(tm), som i "Blockbuster og FitnessWorld har mit CPR-nummer ifm. oprettelse af medlemskab".

Gad vide, hvor mange Mokaï, trunten bag kassen skal bestikkes med, for at udlevere mit CPR-nummer?

Alle danskere burde skrive deres CPR-nummer på en badge eller t-shirt og gå rundt med den en måneds tid.

Rettelse: Det går ikke. Så længe det er MIG, der skal bevise at det IKKE var mig, der oprettede diverse lån og indkøb i mit navn, så dur det ikke. Endnu et lag i den absurde Monty Python-inspirerede lagkage, som politikerne kalder "sikker personlig identificering".

  • 5
  • 0
Christian Nobel

På hvilken måde er det kritisk at andre kommer i besiddelse af mit cpr-nummer?

Det er kritisk at "nogen" betragter de sidste fire cifre som et magisk sesam-luk-dig-op password.

Og den eneste måde det kan komme til livs er ikke ved at fortsætte med de krampagtige forsøg på ikke at ændre status quo, men derimod melde klart og tydeligt ud at CPR nummeret kan og må ikke bruges til authentification!

Det næste skridt vil så være at indføre et nyt CPR nummer, som ikke er informationsbærende.

  • 12
  • 1
Jens Jönsson

Er der noget jeg har misforstået ? Hvorfor er det at CPR-nr. er så hemmeligt ?
Er det ikke bare en anden måde at identificere en person på, end navn og adresse ?

Problemet er vel netop at det skal være hemmeligt og man så alligevel skal give det videre i banken, til lægen, teleselskabet osv., hvilket jo netop ikke længere gør det så hemmeligt.
CPR-nr. bør jo netop ikke stå alene ifht. at bekræfte hvem man som person er.

  • 5
  • 0
Thomas Jensen

Det er kritisk at "nogen" betragter de sidste fire cifre som et magisk sesam-luk-dig-op password.

Jo, men hvem er disse "nogen"? Hvad kan disse politikere, der nu har få offentliggjort deres cpr-nummer, forvente af misbrug?

Hvor bliver cpr-nummeret brugt som password?Ja, der har været eksempler på lidt for servicemindede offentligt ansatte (!), der i deres hjertes godhed har troet på den borger der har ringet ind, frem for at kræve at vedkommende skrev eller mødte frem personligt. Men er det ikke specialtilfælde?

Og den eneste måde det kan komme til livs er ikke ved at fortsætte med de krampagtige forsøg på ikke at ændre status quo, men derimod melde klart og tydeligt ud at CPR nummeret kan og må ikke bruges til authentification!

Er det ikke præcis hvad Margrethe Vestager siger i artiklen?

" men vi skal hverken betragte det som et password eller en pinkode – så gør vi os selv en bjørnetjeneste"

  • 1
  • 2
Christian Nobel

Jo, men hvem er disse "nogen"? Hvad kan disse politikere, der nu har få offentliggjort deres cpr-nummer, forvente af misbrug?

Et eller andet sted er det sådan set bedøvende ligegyldigt hvad der sker med præcis de pågældende politikere - MEN det er ikke bedøvende ligegyldigt hvad der sker med landets befolkning.

Det er det der er humlen.

Hvor bliver cpr-nummeret brugt som password?Ja, der har været eksempler på lidt for servicemindede offentligt ansatte (!), der i deres hjertes godhed har troet på den borger der har ringet ind, frem for at kræve at vedkommende skrev eller mødte frem personligt. Men er det ikke specialtilfælde?

Prøv at Google lidt på identitetstyveri.

CPR nummeret spiller en stor rolle!

Er det ikke præcis hvad Margrethe Vestager siger i artiklen?

" men vi skal hverken betragte det som et password eller en pinkode – så gør vi os selv en bjørnetjeneste"

Til en vis grad, men hun taler med kløftet tunge, og benytter sig i øvrigt af et ord som, takket være dansk sprognævns forfladigelse af det danske sprog, ikke er eksplicit.

Og hvis det skulle give mening, så skulle hun i stedet for lidt newspeak følge det op med en væsentlig stramning af praksis, således at misbrug (dvs. der hvor man stadig anser CPR nummeret som authentification) skulle være ansvarspådragende.

Eksemplificeret af Jacob tidligere:
"Så længe det er MIG, der skal bevise at det IKKE var mig, der oprettede diverse lån og indkøb i mit navn, så dur det ikke."

Altså hvis den der har oprettet lånet ikke kan bevise at der er foretaget anden "authentification check" end CPR opslag, så er ansvaret hans, ikke CPR haverens.

  • 5
  • 1
Michael Weber

Man downloader blanketten "Anmeld udrejse" og udfylder den 179 gange og sender den til de respektive kommuner.

En kommune kan tjekke om anmeldelsen er korrekt. Den er dog ikke forpligtet til det. Herefter venter man på at Politiet rømmer Folketinget, da MF´ere skal have valgret, hvilket bl.a. indebærer at de har bopæl i Danmark.

Sender man blanketterne som økonomibrev, er prisen kr. 1163,50
:)

  • 15
  • 1
Martin Jensen

Så virkede min twitter spam til Vestager alligevel :)

https://twitter.com/Martin_Nygaard/status/478590831344234496
Kom nu! Tag fat på det egentlige problem med CPR numre som identitetsvalidering @vestager. Gør dem dog offentlige. Det er ikke et password!

Forstår ikke, hvorfor det skal betragtes som hemmeligt. Hvis nogen firmaer bruger dem som validering bør de straks lukkes af datatilsynet og få en kæmpe bøde. Indfør en ordenlig 2-faktor version af NemID som kan bruges i stedet. En version som tante Olga unden computer også kan bruge nede på kommunekontoret.

  • 3
  • 0
Peter Jensen

Ved ikke hvad du snakker om der er massere af steder hvor CPR-nummer er nok til at identificere fx apoteket kan du få udleveret medicin og oplysninger om tilligere medicin som ikke er afhentet via CPR nummer fx er der. Sikkert en ukendt i Folketinget hvor jeg i morgen kunne gå ned og få personlige helbredsoplysninger hvis jeg er heldig finder jeg noget anti-psykotisk eller antabus...

  • 0
  • 0
Lars Lundin

Vi forventes at opgive vores CPR-nummer så ufatteligt mange steder at det ikke giver mening at betragte det som fortroligt.

Men problemet er vel netop at da CPR blev designet i 1960'erne, så var CPR-nummeret med de sidste 4 cifre tiltænkt en dobbeltrolle[*] som både PIN til autentikering, samt unik identifikator.

Jeg kan ikke henvise til nogen lov, men jeg har en stærk erindring om at man især tilbage i 1970'erne skulle holde sine sidste 4 CPR-cifre hemmelige (og når man så kunne oplyse dem til f.eks. en kommunalt ansat, ja så var det jo bevis på at man havde dette CPR-nummer, og at man derfor var den person som man hævdede at være). Af samme mystiske grund havde man jo også et 'personnummerbevis' uden foto - havde man sit personnummerbevis, så måtte man jo være den person. (Jeg har stadigt mit, men jeg aner ikke hvad det kan bruges til).

Det var jo også derfor at Kim Larsen kunne provokere ved at sætte sit CPR-nummer på omslaget at sit solo-album.

Siden da er CPR-numrene for alle danskere med kørekort jo kopieret af kriminelle (via kørekortsregistret, som CSC ikke formåede at passe på), så det er virkeligt småt med fortroligheden.

Løsningen er naturligvis at CPR-numrene ikke skal opfattes som fortrolige, og at man i Danmark må bruge noget andet i stedet. Det virker som om man i Tyskland indfører et system, som ikke kun skal fungere godt for staten. For en gangs skyld skulle man måske skæve til udlandet, fremfor at prøve at opfinde endnu en dansk version af den dybe tallerken.

[*]Jeg kan ikke lige sætte mig ind i den dobbelttænkning, der skal til for at forestille sig at denne dobbeltrolle kunne fungere, men det er måske bare bagklogskab.

  • 2
  • 0
John Vedsegaard

Vi må simpelthen have et andet system.
Det skal så laves mere sikkert og der skal være restriktioner på hvem der må kræve den slags oplysninger, for eksempel kan jeg ikke se en eneste grund til at rejsekortet skal have mit personnummer.

Det offentlige skal have forbud mod at sætte personnummer på sager, der sendes til borgerne, da det er overflødigt de fleste kender jo godt deres eget personnummer o.s.v.

Ud over det, alle virksomheder skal have forbud mod at opbevare kreditkortoplysninger også selv om det "kun" er delvis. Vi må vænne os til at skrive det hele hver gang, eller på usikker vis have det liggende som cut+paste.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize