Der er intet sikkerhedsmæssigt til hinder for, at vores CPR-numre kan offentliggøres, tværtimod. Sådan lyder det fra interesseorganisationen for IT-professionelle i Danmark, Dansk IT, med henvisning til, at hackere muligvis har downloadet CPR-numrene på samtlige danskere med kørekort fra firmaet CSCs hovedcomputer sidste år.
»Hvis CPR-numrene ikke var beskyttede, var der ingen, der ville bruge numrene som sikkerhedsnøgle til noget som helst, hvilket ville gøre dem uskadelige,« siger Peter Pietras, næstformand for Dansk ITs udvalg for offentlig IT, og påpeger, at numrene i sig selv kun siger noget om en persons køn og alder.Meldingen kommer, efter at den 25-årige IT-iværksætter og studerende Søren Louv-Jansen i sidste uge blev politianmeldt for at have offentliggjort ti danske toppolitikeres CPR-numre på sin hjemmeside, hvor de indgik i det han kaldte et CPR-lotteri. Formålet var at gøre opmærksom på, at man nemt kan skaffe sig andres CPR-numre og derefter misbruge det på forskellig vis, f.eks. til identitetstyveri.Hos Dansk IT har man i flere år forsøgt at gøre opmærksom på CPR-systemets svagheder. I sig selv fungerer det godt, når borgere skal indekseres, og når man skal kende to borgere, der hedder det samme, fra hinanden. Det principielle problem opstår, når man lægger op til, at nummeret skal være hemmeligt og bruges som sikkerhedsnøgle, for det er i praksis uhensigtsmæssigt.
»Det er helt usandsynligt, at det ikke bliver kompromitteret på et tidspunkt i en persons liv. Det er sikkerhedsfagligt fuldstændig usandsynligt, og derfor er lovgivningen også fuldstændig uforståelig,« siger Peter Pietras, der via sit job som direktør i Social- og Arbejdsforvaltningen i Odense Kommune ved, hvor mange offentligt ansatte der har adgang til CPR-numre, og hvor lille en fejl der skal til, før et CPR-nummer havner det forkerte sted.
Derudover er der også muligheden for, at en borger taber sit sygesikringsbevis på gaden. Derfor er systemet grundlæggende forkert tænkt, mener Peter Pietras:
»Sikkerhedsfagligt set er det forkert tænkt. Det er helt basal viden, at man ikke skal beskytte noget, som ikke kan tilbagetrækkes og ændres, hvis det kommer ud i offentligheden. Det er næsten en faglig fornærmelse, vil jeg sige.«
En kendt problematik
For embedsmændene i CPR-kontoret, der står for driften af Det Centrale Personregister, er det ikke nyt, at personnumrene kan kompromitteres.
»Vi er udmærket klar over, at det er muligt at finde frem til hinandens personnumre, hvis man er i besiddelse af navn og fødselsdato,« siger Carsten Grage, kontorchef hos CPR-kontoret.
»Det er heller ikke nogen hemmelighed – det står på vores hjemmeside – at der er 270 numre tilknyttet en given fødselsdato på et givet køn. Og typisk vil der ikke være 270 numre i brug. I det lys er der ikke noget odiøst i, at det er muligt for nogen at gætte andres personnumre,« siger han.
Hvorvidt han mener, at Datatilsynet overreagerer ved at politianmelde Søren Louv-Jansen, når det i forvejen er en kendt problematik, vil han ikke udtale sig om. Han vil heller ikke kommentere, om offentlige CPR-numre kunne være en mulighed.
Skjuler det virkelige problem
Samme melding kommer fra Janni Christoffersen, der er direktør i Datatilsynet. Hun har »ingen kommentarer til den sag overhovedet« og henviser til, at diskussionen om hemmelige CPR-numre hører hjemme på Christiansborg. Ifølge Socialdemokraternes IT-ordfører, Trine Bramsen, er det dog ikke det virkelige problem.
»Det ærgrer mig, at debatten kommer til at handle om CPR-numrene, for den burde handle om, hvad man kan bruge CPR-numrene til,« siger hun og henviser til de virksomheder, der udelukkende bruger CPR-numre for at identificere en mulig kunde og på den måde muliggør snyd.
For at hjælpe ofre for identitetstyveri kommer regeringen til efteråret med et lovforslag, der skal gøre det nemmere at få nyt CPR-nummer. Ifølge Peter Pietras skaber det bare et nyt problem. Det vil nemlig være »galmandsværk«, hvis man skal til at ændre enkeltnumre i alle de registre, hvor de berørte borgere står opført. Han undrer sig derfor over Datatilsynets rolle i sagen.
»Det er fint nok, at de politianmelder den konkrete sag, men de nævner ikke den bureaukratiske fejl, der ligger i systemet. Det virker næsten, som om de forsøger at holde den virkelige problemstilling skjult.«