Dette indlæg er alene udtryk for skribentens egen holdning.

Jamen, CPR-nummeret er da ikke hemmeligt?

11. juli 2013 kl. 11:5225
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når et varmt emne diskuteres, kan det være sundt at sætte sig ned og perspektivere det. Her er mit forsøg på at perspektivere CPR-debatten.

I 1800-tallet og tidligere kunne man som regel identificere personer ved deres navn og landsby. Alle vidste, hvem Jens Pedersen i Dalby var. Med et almindeligt navn som Jens Pedersen kunne der selvfølgelig godt være to med samme navn i Dalby, men det var der som regel en pragmatisk løsning på med et ekstra tilnavn såsom deres erhverv. I købstæderne var det selvfølgelig sværere, så hurtigt begyndte man her at bruge adresser. Det kom først langt senere på landet.

Så i mere end 100 år blev identifikationen af folk i mange sammenhænge kombinationen af deres navn og adresse. Alternativt begyndte man også bruge navn og fødselsdato som identifikation i mere formelle sammenhænge, såsom de manuelle folkeregistre, der var før CPR. Det fungerede på mange måder fint – og folk var klar over, at de var nødt til at identificere sig selv. Ingen tøvede derfor med (og gør det heller ikke i dag) at oplyse sit navn, sin adresse eller fødselsdag. Jeg har tit fornøjelsen i anden sammenhæng at ringe til vildtfremmede mennesker og spørge om deres fødselsdag. Jeg har ALDRIG oplevet, at de ikke ville oplyse dette til en fremmed person (mig) over telefonen!

Men i 1968 løb denne debat af sporet med indførelse af CPR. Ikke unaturligt var man nået til konklusionen, at nu måtte man én gang for alle finde en entydig identifikation på mennesker i Danmark, ikke mindst da en central database nu var mulig ved hjælp af EDB. Og navn og fødselsdag var ikke længere tilstrækkeligt, da flere med samme navn godt kunne være født på samme dato. Altså de berømte ”fire sidste cifre”.

Artiklen fortsætter efter annoncen

Men nu blev personnummeret pludselig delvist fortroligt. Delvist fordi det blev pålagt myndighederne, at personnumre ikke ”kommer uvedkommende i hænde”. Nummeret må ikke skrives uden på en kuvert, men må gerne være anført i brevet inden i kuverten eller på et girokort, når det ligger i et brev. Så helt ærligt, ikke specielt hemmeligt som udgangspunkt.

Det fortaber sig måske lidt i tågerne, hvorfor denne delvise hemmeligholdelse var nødvendig. Men jeg husker selv de mange og ophedede diskussioner om ”registersammenkøringer”, der fik den mere big-brother-angste del af befolkningen op på barrikaderne i 1970erne, fordi man var bange for, at det offentlige kunne trække oplysninger om dem på tværs af alle systemer og dermed ”misbruge” dem. I dag er det nærmest omvendt: I jagten på social bedrageri ønsker mange netop denne sammenkøring – så de indbetalte skattekroner faktisk havner i de rigtige lommer. Men dengang var synet gennemsyret af en angst for, hvad den nye IT-teknologi kunne bruges og misbruges til. Det tror jeg var baggrunden.

Men valget om at ”være forsigtig” med personnummeret fik altså voldsomme konsekvenser frem til i dag, fordi rigtig mange er blevet vildledt til at tro, at det er hemmeligt og kan bruges som sikkerhedskode. Man kan bare se de mange diskussioner i medierne om, hvordan man kan få fat på folks ”hemmelige” CPR-nummer. Og når folk oplever, hvad man så kan med personnummeret, bliver man endnu mere forsigtig og holder det endnu mere hemmeligt. Men dette var aldrig meningen med at have en entydig identifikation af personer i Danmark. Faktisk er hemmeligholdelse af folks identifikation et paradoks.

Derfor skal dette ændres både ved en kultur-ændring og ved en lovgivningsmæssig ændring – og ikke ved, at ministeren går i kødet på enkelte virksomheder eller brancher. Problemet findes i alle brancher og sektorer. Der findes masser af løsninger på sikker identifikation, og disse må bringes i spil i stedet for CPR-nummeret.

Twitter: @p_andersen

25 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
25
17. juni 2014 kl. 06:41

Desværre kan jeg ikke finde tv indslaget med Poul Trier Pedersen om cpr numre. Det burde være offentligt, men bliver opfattet som et password. Man er jo heller ikke ejer af en virksomhed fordi man siger et CVR nummer. CPR giver kun entydighed. Det burde være ulovligt at oprette en identitet på basis af et CPR nummer og tilfældige antagelser. Det er her filmen knækker.

24
17. juni 2014 kl. 06:41

Desværre kan jeg ikke finde tv indslaget med Poul Trier Pedersen om cpr numre. Det burde være offentligt, men bliver opfattet som et password. Man er jo heller ikke ejer af en virksomhed fordi man siger et CVR nummer. CPR giver kun entydighed. Det burde være ulovligt at oprette en identitet på basis af et CPR nummer og tilfældige antagelser. Det er her filmen knækker.

20
12. juli 2013 kl. 12:40

Jeg er helt enig med bloggeren. Men kan nogen fortælle mig rationalet bag, at den entydige identifikationsnøgle skal indeholde fødselsdato, -år og køn? Er der noget - måske specielt kvinder - er følsomme over at udlevere, så er det alderen. Hvis det stod til mig, fik vi alle sammen et nyt CPR-nummer og denne gang ét uden nogen som helst indbygget information (andet end måske lige mod 11 kontrol, så man minimerer riskoen for at taste forkert) og samtidigt udvalgt helt tilfældigt. Med lidt fremsynethed skulle det dimensioneres, så det ikke kommer til kort den dag (?) EU laver et centralt personregister.

21
12. juli 2013 kl. 15:37

Alle andre numre vil være svære at huske....

14
12. juli 2013 kl. 12:05

Jeg tror ikke jeg forstår helt hvad debatten om cpr-nummer går ud på. CPR-nummeret er vel - pga. de sidste 4 cifre - totalt entydigt for den enkelte person. Nu ved jeg ikke hvor mange kombinationsmuligheder 4 cifre giver, men jeg gætter på at det ikke er nok. Så der kan sikkert godt være folk med samme samme sidste 4 cifre, men med forskellig fødselsdato. Så hvis noget skulle være hemmeligt, skulle det vel være de sidste 4 cifre og det er vel også derfor at ikke alle vil ud med de sidste 4 cifre, med mindre de er sikre på, hvem de giver dem til (f.eks. til myndigheder). Men hvad er problemet egentligt - hvis det ellers kan forklares kort og præcist?

17
12. juli 2013 kl. 12:17

Problemet opstår når man kan få tilsendt et sygesikringskort og personlige oplysninger når man oplyser et CPR-nummer.

18
12. juli 2013 kl. 12:20

Det kan man vel ikke, hvis man ikke er på den adresse der er knyttet til cpr-nummeret. Jeg mener - disse kort bliver jo sendt til folkeregisteradressen.

16
12. juli 2013 kl. 12:17

Nej det er klart - men sammen med fødselsdatoen bør det samlede cpr-nummer være entydigt og det er vel det der er smart ved det - men vel også derfor at de sidste 4 cifre egentligt burde være hemmelige.

19
12. juli 2013 kl. 12:31

Nej det er klart - men sammen med fødselsdatoen bør det samlede cpr-nummer være entydigt og det er vel det der er smart ved det - men vel også derfor at de sidste 4 cifre egentligt burde være hemmelige.

Problemet er at der er nogen der tror at de sidste 4 cifre burde være hemmelige. Derfor designer de systemer der er baseret på en antagelse om at hvis man kender et CPR-nummer og tilpas meget andet om personen (fulde navn, adresse elle noget) så er man nok vedkommende person.

Der er så andre der tror at vi kan rette på denne fejltagelse ved bare at erklære at de sidste 4 cifre af CPR-nummeret rent faktisk skal være hemmelige. Men det hjælper jo ikke noget hvis jeg skal udlevere mit CPR-nummer for at bevise hvem jeg er. Så kan alle jeg har bevist min identitet overfor lige så let udgive sig for at være mig.

13
12. juli 2013 kl. 11:50

... koblet med globale identifikatorer ... i en verden fuld af eksperter i både teknisk og social engineering

Det betyder at enhver, der på et tidspunkt har fået/fundet dit CPR-nummer kan benytte det i enhver anden sammenhæng til at udtrække og korrelere oplysninger om dig.

Det er principielt det samme problem med kreditkortoplysninger, som endnu kan genbruges i stor udstrækning via telefon eller internet, mens sikkerheden er øget ved fysiske betalinger.

I en verden med masser af store usikre systemer og mange, der forstår at udnytte sikkerhedshuller er det derfor dårlig stil at blande masser af personlige oplysninger direkte sammen med cpr-numre, kreditkortoplysninger og andre globale identifikatorer.

Med effektive autentificerings- og rettighedsstyringssystemer forsvinder behovet for disse basalt set mnemotekniske globale identifikatorer helt.

12
12. juli 2013 kl. 11:35

I slutningen af 60'erne gik jeg på et kursus i databehandling. Der gennemgik vi et svensk skræmme eksempel på fremtiden " Kender databanken Jönsson". Det beskrev med rædsel alle de informationer som man kunne foretille sig at man kunne trække om en person, og dermed følge hans gøren og laden. Dette skrækscenarie har vi for længst overhalet med brug af bl.a. CPR nummeret på et hav af forskellige informationer hos offentlige myndigheder, syghus- og læge sektoren, banker, forsikringsselskaber og andre steder. Dette er et alvorligt indgreb i den personlige frihed - og i den salige kontrols og milimeterdemokratiske tjeneste, for med CPR numemret der der adgang til et utal af personlige informationer. Tilsvarende havde aldrig kunnet lade sig gøre med anvendelse af navnet Jens Pedersen. Danmark er et af de mest kontrollerde lande i verden og uden at vi overhovedet har taget debatten om grænser for kontrol og respekt for individet. Er det sådan et samfund vi gerne vil have?

11
12. juli 2013 kl. 10:07

Jeg har også overvejet om jeg ikke skal bede om et kørekort og sygesikringsbevis uden de 4 sidste cifre på (eller sætte gaffatape over). Begge dele bruger jeg jo til identifikation, og så længe mit password (4 cifre) står trykt derpå, så må jeg jo ikke vise dem til andre.

10
11. juli 2013 kl. 21:08

@Peter Kyllesbeck - ja, jeg mente "sikker legitimation". Tak for at du fangede den.

9
11. juli 2013 kl. 20:51

Jeg har været ude for et tilfælde, hvor en mand solgte sit hus til en anden mand med samme navn (jeg husker det som Søren Jensen). Det gav visse problemer med eftersendelse af post :-)

7
11. juli 2013 kl. 20:04

Da vi i sin tid fik et entydigt nummer, var det simpelthen af hensyn til indførelse af kildeskat samt andre ting man efterhånden fandt ud af at bruge det til, og det har aldrig været meningen, at det skulle være hemmeligt. Nogle ansatte fik lidt problemer, fordi de havde løjet sig yngre, og det var så det. Det har aldrig været ment som identifikation af en person i nogen sammenhæng!

6
11. juli 2013 kl. 19:29

Det er også helt vildt hvad man har tilladt at det kunne bruges til, for som sådan er CPR-numre da genial til at bruge til at gemme trivielle data med.

5
11. juli 2013 kl. 18:12

Der findes masser af løsninger på sikker identifikation, og disse må bringes i spil i stedet for CPR-nummeret.

Hvad er det usikre i identifikation via CPR-nummeret? Du mener vel legitimation, hvor CPR-nummeret er den ene del (eller kan være). Du skifter vel heller ikke navn, fordi en anden forsøger at bruge dit navn mm.. Der skal den, der har brug for 'sikker' identifikation' bede om legitimation.

4
11. juli 2013 kl. 14:35

...er vel i bund og grund, at myndigheder i nogle tilfælde fejlagting har identificeret en person som en anden på grundlag af et oplyst cpr nummer.

og det kan vel godt kaldes naivt

3
11. juli 2013 kl. 14:17

Jeg er enig i dine betragtninger. Grundlæggende set er CPR-nummeret hverken mere eller mindre kompromiterende end min adresse.

Men jeg er da også påpasselig med at at dele min adresse ud med mindre at der er et behov for det. Det behov er der selvfølgelig ofte nok til at jeg ikke betragter min adresse som specielt fortrolig, men jeg deler den da selvfølgelig ikke med den rockertype jeg vælter ind i på et værtshus.

Hvis du ringer til mig og spørger mig ud om et eller andet fagligt relevant, så får du som udgangspunkt hverken min adresse eller CPR-nummer.

Nu har mine forældre så begavet mig med et ikke specielt udbredt efternavn, så jeg går ud fra at de fleste herinde med en overkommelig indsats kan finde begge dele. Så nej, jeg anser ikke oplysningerne som hemmelige, men derfor mener jeg alligevel at der skal være en grund til at dele dem ud.

8
11. juli 2013 kl. 20:41

Why?

Vil du so give din firmas CVR nummer til den rockertype på værtshuset?

2
11. juli 2013 kl. 14:14

Det er genialt med en entydig identifikator for ethvert menneske bosat i Danmark, men at kendskab denne bruges some bevis på, at man er den person, nummeret identificerer, er absurd -- også selv om kendskab til nummeret kombineres med kendskab til navn og adresse, da den slags oplysninger nemt kan findes.

Til legitimation kan man bruge et eller andet form for valideret biometrisk mærke. Det kan være portrætfoto, underskrift, fingeraftryk, irisscan eller meget andet, men hvor en myndighed garanterer, at den biometriske information stemmer overens med den identifikator (f.eks. CPR-nummer), der er trykt på kortet. For at legitimere sig skal man vise det biometriske mærke til en person eller et apparat, der kan vurdere, om mærket stemmer tilpas overens med den person, der forsøger at legitimere sig. For størst mulig sikkerhed kan flere mærker kombineres, for eksempel både foto, underskrift og angivelse af højde og øjenfarve.

Sådanne biometriske mærker er lidt sværere at bruge over Internettet, så her bruges ofte (selvvalgte) kodeord til legitimation. Det kan fungere fint, hvis man blot vælger kodeord, der både er svære at gætte og nemme at huske. Men man kommer nemt ud i et meget stort antal forskellige kodeord. Derfor ville det være godt med en mekanisme, der kan erstatte kodeord på Internettet og alligevel give mindst den samme sikkerhed som gode (og forskellige) kodeord. Der er diverse programmer, der kan samle dine kodeord i en krypteret database, som kan tilgås med et fælles kodeord, så man kun skal huske et kodeord. En variant af dette er at programmet genererer svært gætbare kodeord til hvert nyt websted ud fra den fælles nøgle. Det vil dog øge sikkerheden en del, hvis det samme kodeord ikke bruges ved hver legitimation overfor samme websted.

Her kommer så challenge/response systemer ind. NemID er et eksempel: Din netbank giver dig (via DanID) et firecifret tal, som du skal svare på med et sekscifret tal, der er trykt på dit kort. Sålænge du passer godt på dit kort, fungerer det fint, men hvis kortet bliver stjålet sammen med dit sygesikringsbevis, har du kun dit selvvalgte kodeord til din netbank som sikkerhed. En bedre løsning er en elektronisk kodegenerator (som man så til netbanker før NemID) med en biometrisk sensor, som forhindrer andre end matchende personer (ideelt set kun dig) i at bruge kodegeneratoren. Med moderne teknologi vil det ikke være svært at lave en kodegenerator med fingeraftryksscanner på størrelse med et kreditkort. For ekstra sikkerhed kan man endda indbygge et kamera, der laver ansigtsgenkendelse.

Et sådant apparat vil kunne fungere som legitimation både på Internettet og ved personligt fremmøde, og vil være at foretrække frem for nuværende løsninger.

Og hvor kommer CPR-nummeret så ind: Jo, det er den (offentlige) identifikator, der i forbindelse med legitimation bruges til at identificere personen i databasen.

1
11. juli 2013 kl. 13:49

...det er primært en lovgivningsmæssig ændring som skal til og den skal være uden nogen mærklige dispensationer.