per andersen bloghoved

Jamen, CPR-nummeret er da ikke hemmeligt?

Når et varmt emne diskuteres, kan det være sundt at sætte sig ned og perspektivere det. Her er mit forsøg på at perspektivere CPR-debatten.

I 1800-tallet og tidligere kunne man som regel identificere personer ved deres navn og landsby. Alle vidste, hvem Jens Pedersen i Dalby var. Med et almindeligt navn som Jens Pedersen kunne der selvfølgelig godt være to med samme navn i Dalby, men det var der som regel en pragmatisk løsning på med et ekstra tilnavn såsom deres erhverv. I købstæderne var det selvfølgelig sværere, så hurtigt begyndte man her at bruge adresser. Det kom først langt senere på landet.

Så i mere end 100 år blev identifikationen af folk i mange sammenhænge kombinationen af deres navn og adresse. Alternativt begyndte man også bruge navn og fødselsdato som identifikation i mere formelle sammenhænge, såsom de manuelle folkeregistre, der var før CPR. Det fungerede på mange måder fint – og folk var klar over, at de var nødt til at identificere sig selv. Ingen tøvede derfor med (og gør det heller ikke i dag) at oplyse sit navn, sin adresse eller fødselsdag. Jeg har tit fornøjelsen i anden sammenhæng at ringe til vildtfremmede mennesker og spørge om deres fødselsdag. Jeg har ALDRIG oplevet, at de ikke ville oplyse dette til en fremmed person (mig) over telefonen!

Men i 1968 løb denne debat af sporet med indførelse af CPR. Ikke unaturligt var man nået til konklusionen, at nu måtte man én gang for alle finde en entydig identifikation på mennesker i Danmark, ikke mindst da en central database nu var mulig ved hjælp af EDB. Og navn og fødselsdag var ikke længere tilstrækkeligt, da flere med samme navn godt kunne være født på samme dato. Altså de berømte ”fire sidste cifre”.

Men nu blev personnummeret pludselig delvist fortroligt. Delvist fordi det blev pålagt myndighederne, at personnumre ikke ”kommer uvedkommende i hænde”. Nummeret må ikke skrives uden på en kuvert, men må gerne være anført i brevet inden i kuverten eller på et girokort, når det ligger i et brev. Så helt ærligt, ikke specielt hemmeligt som udgangspunkt.

Det fortaber sig måske lidt i tågerne, hvorfor denne delvise hemmeligholdelse var nødvendig. Men jeg husker selv de mange og ophedede diskussioner om ”registersammenkøringer”, der fik den mere big-brother-angste del af befolkningen op på barrikaderne i 1970erne, fordi man var bange for, at det offentlige kunne trække oplysninger om dem på tværs af alle systemer og dermed ”misbruge” dem. I dag er det nærmest omvendt: I jagten på social bedrageri ønsker mange netop denne sammenkøring – så de indbetalte skattekroner faktisk havner i de rigtige lommer. Men dengang var synet gennemsyret af en angst for, hvad den nye IT-teknologi kunne bruges og misbruges til. Det tror jeg var baggrunden.

Men valget om at ”være forsigtig” med personnummeret fik altså voldsomme konsekvenser frem til i dag, fordi rigtig mange er blevet vildledt til at tro, at det er hemmeligt og kan bruges som sikkerhedskode. Man kan bare se de mange diskussioner i medierne om, hvordan man kan få fat på folks ”hemmelige” CPR-nummer. Og når folk oplever, hvad man så kan med personnummeret, bliver man endnu mere forsigtig og holder det endnu mere hemmeligt. Men dette var aldrig meningen med at have en entydig identifikation af personer i Danmark. Faktisk er hemmeligholdelse af folks identifikation et paradoks.

Derfor skal dette ændres både ved en kultur-ændring og ved en lovgivningsmæssig ændring – og ikke ved, at ministeren går i kødet på enkelte virksomheder eller brancher. Problemet findes i alle brancher og sektorer. Der findes masser af løsninger på sikker identifikation, og disse må bringes i spil i stedet for CPR-nummeret.

Twitter: @p_andersen

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Det er genialt med en entydig identifikator for ethvert menneske bosat i Danmark, men at kendskab denne bruges some bevis på, at man er den person, nummeret identificerer, er absurd -- også selv om kendskab til nummeret kombineres med kendskab til navn og adresse, da den slags oplysninger nemt kan findes.

Til legitimation kan man bruge et eller andet form for valideret biometrisk mærke. Det kan være portrætfoto, underskrift, fingeraftryk, irisscan eller meget andet, men hvor en myndighed garanterer, at den biometriske information stemmer overens med den identifikator (f.eks. CPR-nummer), der er trykt på kortet. For at legitimere sig skal man vise det biometriske mærke til en person eller et apparat, der kan vurdere, om mærket stemmer tilpas overens med den person, der forsøger at legitimere sig. For størst mulig sikkerhed kan flere mærker kombineres, for eksempel både foto, underskrift og angivelse af højde og øjenfarve.

Sådanne biometriske mærker er lidt sværere at bruge over Internettet, så her bruges ofte (selvvalgte) kodeord til legitimation. Det kan fungere fint, hvis man blot vælger kodeord, der både er svære at gætte og nemme at huske. Men man kommer nemt ud i et meget stort antal forskellige kodeord. Derfor ville det være godt med en mekanisme, der kan erstatte kodeord på Internettet og alligevel give mindst den samme sikkerhed som gode (og forskellige) kodeord. Der er diverse programmer, der kan samle dine kodeord i en krypteret database, som kan tilgås med et fælles kodeord, så man kun skal huske et kodeord. En variant af dette er at programmet genererer svært gætbare kodeord til hvert nyt websted ud fra den fælles nøgle. Det vil dog øge sikkerheden en del, hvis det samme kodeord ikke bruges ved hver legitimation overfor samme websted.

Her kommer så challenge/response systemer ind. NemID er et eksempel: Din netbank giver dig (via DanID) et firecifret tal, som du skal svare på med et sekscifret tal, der er trykt på dit kort. Sålænge du passer godt på dit kort, fungerer det fint, men hvis kortet bliver stjålet sammen med dit sygesikringsbevis, har du kun dit selvvalgte kodeord til din netbank som sikkerhed. En bedre løsning er en elektronisk kodegenerator (som man så til netbanker før NemID) med en biometrisk sensor, som forhindrer andre end matchende personer (ideelt set kun dig) i at bruge kodegeneratoren. Med moderne teknologi vil det ikke være svært at lave en kodegenerator med fingeraftryksscanner på størrelse med et kreditkort. For ekstra sikkerhed kan man endda indbygge et kamera, der laver ansigtsgenkendelse.

Et sådant apparat vil kunne fungere som legitimation både på Internettet og ved personligt fremmøde, og vil være at foretrække frem for nuværende løsninger.

Og hvor kommer CPR-nummeret så ind: Jo, det er den (offentlige) identifikator, der i forbindelse med legitimation bruges til at identificere personen i databasen.

Peter Makholm Blogger

Jeg er enig i dine betragtninger. Grundlæggende set er CPR-nummeret hverken mere eller mindre kompromiterende end min adresse.

Men jeg er da også påpasselig med at at dele min adresse ud med mindre at der er et behov for det. Det behov er der selvfølgelig ofte nok til at jeg ikke betragter min adresse som specielt fortrolig, men jeg deler den da selvfølgelig ikke med den rockertype jeg vælter ind i på et værtshus.

Hvis du ringer til mig og spørger mig ud om et eller andet fagligt relevant, så får du som udgangspunkt hverken min adresse eller CPR-nummer.

Nu har mine forældre så begavet mig med et ikke specielt udbredt efternavn, så jeg går ud fra at de fleste herinde med en overkommelig indsats kan finde begge dele. Så nej, jeg anser ikke oplysningerne som hemmelige, men derfor mener jeg alligevel at der skal være en grund til at dele dem ud.

Peter Kyllesbeck

Der findes masser af løsninger på sikker identifikation, og disse må bringes i spil i stedet for CPR-nummeret.

Hvad er det usikre i identifikation via CPR-nummeret?
Du mener vel legitimation, hvor CPR-nummeret er den ene del (eller kan være).
Du skifter vel heller ikke navn, fordi en anden forsøger at bruge dit navn mm.. Der skal den, der har brug for 'sikker' identifikation' bede om legitimation.

Steen Jensen

Da vi i sin tid fik et entydigt nummer, var det simpelthen af hensyn til indførelse af kildeskat samt andre ting man efterhånden fandt ud af at bruge det til, og det har aldrig været meningen, at det skulle være hemmeligt. Nogle ansatte fik lidt problemer, fordi de havde løjet sig yngre, og det var så det. Det har aldrig været ment som identifikation af en person i nogen sammenhæng!

Torben Lohfert

I slutningen af 60'erne gik jeg på et kursus i databehandling. Der gennemgik vi et svensk skræmme eksempel på fremtiden " Kender databanken Jönsson". Det beskrev med rædsel alle de informationer som man kunne foretille sig at man kunne trække om en person, og dermed følge hans gøren og laden. Dette skrækscenarie har vi for længst overhalet med brug af bl.a. CPR nummeret på et hav af forskellige informationer hos offentlige myndigheder, syghus- og læge sektoren, banker, forsikringsselskaber og andre steder. Dette er et alvorligt indgreb i den personlige frihed - og i den salige kontrols og milimeterdemokratiske tjeneste, for med CPR numemret der der adgang til et utal af personlige informationer. Tilsvarende havde aldrig kunnet lade sig gøre med anvendelse af navnet Jens Pedersen. Danmark er et af de mest kontrollerde lande i verden og uden at vi overhovedet har taget debatten om grænser for kontrol og respekt for individet. Er det sådan et samfund vi gerne vil have?

Henrik Biering Blogger

... koblet med globale identifikatorer
... i en verden fuld af eksperter i både teknisk og social engineering

Det betyder at enhver, der på et tidspunkt har fået/fundet dit CPR-nummer kan benytte det i enhver anden sammenhæng til at udtrække og korrelere oplysninger om dig.

Det er principielt det samme problem med kreditkortoplysninger, som endnu kan genbruges i stor udstrækning via telefon eller internet, mens sikkerheden er øget ved fysiske betalinger.

I en verden med masser af store usikre systemer og mange, der forstår at udnytte sikkerhedshuller er det derfor dårlig stil at blande masser af personlige oplysninger direkte sammen med cpr-numre, kreditkortoplysninger og andre globale identifikatorer.

Med effektive autentificerings- og rettighedsstyringssystemer forsvinder behovet for disse basalt set mnemotekniske globale identifikatorer helt.

Thorvald Johannes Pedersen

Jeg tror ikke jeg forstår helt hvad debatten om cpr-nummer går ud på. CPR-nummeret er vel - pga. de sidste 4 cifre - totalt entydigt for den enkelte person. Nu ved jeg ikke hvor mange kombinationsmuligheder 4 cifre giver, men jeg gætter på at det ikke er nok. Så der kan sikkert godt være folk med samme samme sidste 4 cifre, men med forskellig fødselsdato. Så hvis noget skulle være hemmeligt, skulle det vel være de sidste 4 cifre og det er vel også derfor at ikke alle vil ud med de sidste 4 cifre, med mindre de er sikre på, hvem de giver dem til (f.eks. til myndigheder).
Men hvad er problemet egentligt - hvis det ellers kan forklares kort og præcist?

Peter Makholm Blogger

Nu ved jeg ikke hvor mange kombinationsmuligheder 4 cifre giver, men jeg gætter på at det ikke er nok. Så der kan sikkert godt være folk med samme samme sidste 4 cifre, men med forskellig fødselsdato.

Der er 10000 forskellige tal med fire cifre (inklusive 0000). Jeg mener at der burde være uddelt flere CPR-numre, så jeg tror nok du med sikkerhed kan gå ud fra at de sidste 4 cifre ikke i sig selv er entydige.

Peter Makholm Blogger

Nej det er klart - men sammen med fødselsdatoen bør det samlede cpr-nummer være entydigt og det er vel det der er smart ved det - men vel også derfor at de sidste 4 cifre egentligt burde være hemmelige.

Problemet er at der er nogen der tror at de sidste 4 cifre burde være hemmelige. Derfor designer de systemer der er baseret på en antagelse om at hvis man kender et CPR-nummer og tilpas meget andet om personen (fulde navn, adresse elle noget) så er man nok vedkommende person.

Der er så andre der tror at vi kan rette på denne fejltagelse ved bare at erklære at de sidste 4 cifre af CPR-nummeret rent faktisk skal være hemmelige. Men det hjælper jo ikke noget hvis jeg skal udlevere mit CPR-nummer for at bevise hvem jeg er. Så kan alle jeg har bevist min identitet overfor lige så let udgive sig for at være mig.

Peter O. Gram

Jeg er helt enig med bloggeren.
Men kan nogen fortælle mig rationalet bag, at den entydige identifikationsnøgle skal indeholde fødselsdato, -år og køn? Er der noget - måske specielt kvinder - er følsomme over at udlevere, så er det alderen.
Hvis det stod til mig, fik vi alle sammen et nyt CPR-nummer og denne gang ét uden nogen som helst indbygget information (andet end måske lige mod 11 kontrol, så man minimerer riskoen for at taste forkert) og samtidigt udvalgt helt tilfældigt.
Med lidt fremsynethed skulle det dimensioneres, så det ikke kommer til kort den dag (?) EU laver et centralt personregister.

Leif Neland
Carsten Stenstrøm

Desværre kan jeg ikke finde tv indslaget med Poul Trier Pedersen om cpr numre. Det burde være offentligt, men bliver opfattet som et password. Man er jo heller ikke ejer af en virksomhed fordi man siger et CVR nummer. CPR giver kun entydighed. Det burde være ulovligt at oprette en identitet på basis af et CPR nummer og tilfældige antagelser. Det er her filmen knækker.

Carsten Stenstrøm

Desværre kan jeg ikke finde tv indslaget med Poul Trier Pedersen om cpr numre. Det burde være offentligt, men bliver opfattet som et password. Man er jo heller ikke ejer af en virksomhed fordi man siger et CVR nummer. CPR giver kun entydighed. Det burde være ulovligt at oprette en identitet på basis af et CPR nummer og tilfældige antagelser. Det er her filmen knækker.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize