Nyt datalæk sætter igen spørgsmålstegn ved CPR-nummeret

Endnu et læk af CPR-numre i Danmark er et udtryk for, at personnummeret ikke bør anvendes som nøgle til personlige oplysninger, lyder det igen fra IT-sikkerhedsfronten, efter at 900.000 danskeres CPR-numre blev lækket med den såkaldte Robinsonliste.

Læk af CPR-numre på de danskere, der står på den såkaldte Robinsonliste, stiller igen spørgsmålstegn ved, hvor hemmeligt CPR-nummeret er i dag. Fold sammen
Læs mere
Foto: David Leth Williams
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Når 900.000 danskeres CPR-numre ved en fejl bliver lækket til virksomheder, som benytter den såkaldte Robinsonliste, hvor forbrugere kan frabede sig direkte reklame, er det endnu et udtryk for, at CPR-nummeret ikke længere bør anvendes som sikkerhedsnøgle i IT-systemer.

Det vurderer direktør for IT-sikkerhedsfirmaet FortConsult, Ulf Munkedal, der mener, at CPR-nummeret fortsat bliver benyttet for mange steder som adgangsnøgle til data.

»Vi har set flere sager over tid med læk af CPR-numre, og denne seneste er endnu et eksempel på, at CPR-numre ikke længere er hemmelige, som de var engang. Det stiller krav til virksomheder og offentlige myndigheder om, at CPR-numre ikke kan benyttes som adgang til informationer,« siger Ulf Munkedal.

Han beskriver det som en alvorlig sag, hvis en offentlig myndighed kommer til at forlægge 900.000 CPR-numre, som det torsdag er blevet beskrevet af Børsen, at det er sket ved den seneste opdatering af Robinsonlisten. 

Her fremgår det, at CPR-kontoret under Økonomi- og Indenrigsministeriet onsdag eftermiddag ved en fejl kom til at videregive 900.000 CPR-numre via Robinsonlisten.

Kontorchef hos CPR-kontoret Carsten Grage siger til Børsen, at fejlen er sket hos IT-virksomheden CSC, der står for leveringen af datafilen. Herfra ventes snarest en redegørelse om, hvorfor CPR-numre er blevet sendt ud sammen med personernes navne og adresser. Carsten Grage oplyser samtidig til Børsen, at adgangen til filen blev lukket efter 50 minutter, og at op mod 18 firmaer i det tidsrum har hentet listen til brud for deres markedsføring. De har indtil klokken 16 i dag til at bekræfte over for CPR-kontoret, at data er slettet.

Ifølge direktør for IT-sikkerhedsfirmaet FortConsult Ulf Munkedal er er private virksomheder i stigende grad begyndt at benytte andre systemer til sikkerhed, hvor CPR-nummeret ikke anvendes som nøgle til at få adgang til data, mens det især er offentlige myndigheder, som fortsat bruger CPR-nummeret.

Når der er tale om en offentlige myndighed og ikke en privat virksomhed, er der forskel på konsekvenserne ved at lække CPR-numre. Det oplyser Datatilsynet til Politiken.dk, hvor det fremgår, at Datatilsynet ser meget alvorligt på lækket, og at tilsynet allerede er i gang med at forberede en sag mod statens CPR-kontor under Økonomi- og Indenrigsministeriet.

»Nu er det jo en offentlig myndighed, og så er vi lidt begrænset i, hvad vi kan. Hvis en privat havde gjort noget tilsvarende, ville vi nok tale om en politianmeldelse. Den mulighed eksisterer ikke i forhold til offentlige myndigheder. Det er der ikke hjemmel til i persondataloven«, siger specialkonsulent i Datatilsynet Jesper Vang til Politiken.dk og forklarer, at Datatilsynet vil bede CPR-kontoret komme med en redegørelse. 

Hos interesseorganisationen Forbrugerrådet Tænk vurderer direktør Lars Pram, at det seneste læk af CPR-numre, er endnu et eksempel på, at der er brug for en forstærket sikkerhed.

»Vi synes, det er meget bekymrende, at der er sket endnu et datalæk fra det offentlige, som burde gå forrest i forhold til datasikkerhed,« siger Lars Pram til Berlingske og henviser til, at der i EU forhandles om en ny databeskyttelsespakke, der blandt andet indeholder et krav om en vis grad af såkaldt »privacy by design«, der betyder, at sikkerheden indbygges i systemet, og den enkelte person og vedkommendes personlige data adskilles ved hjælp af kryptering. 

Han opfordrer derfor de danske politikere til at skubbe på for at få vedtaget databeskyttelsespakken.

CPR-systemet, Det Centrale Personregister, som blev oprettet i 1960, er unikt i verden og bruges overalt som nøglen til at identificere den enkelte dansker. Selv om man f.eks. har valgt et andet brugernavn til sin NemID, virker ens CPR-nummer stadig nedenunder.

Det var også CPR-registeret, som den svenske medstifter af Pirate Bay, Gotfrid Svartholm Warg, er sigtet for at have brudt ind i, foruden kriminalregisteret, kørekortregisterett og Schengen-informationssystemet.

Alle registrene ligger hos den amerikanske IT-leverandør CSC, som staten er storforbruger af.

Politiet har forleden krævet, at svenskeren og en dansk medtiltalt skal fire år i fængsel. Økonomi- og indenrigsminister Margrethe Vestager (R), som CPR-registeret sorterer under, skrev 24. juni i et debatindlæg i Politiken, der også er offentliggjort på ministeriets hjemmeside, at »CPR-nummeret er da også en fortrolig oplysning, og den er privat. Men CPR-nummeret er ikke en personfølsom oplysning som f.eks. helbredsoplysninger«.

»Personnummeret har hverken været tænkt som en adgangskode eller et password, som kan bruges til at bekræfte, hvem man er. Det er derfor også en myte, at man alene med et personnummer kan skaffe sig adgang til andres oplysninger eller hæve penge på en andens konto. Personnummeret er rettere en »nøgle«, der entydigt kan genkende den enkelte person i et IT-system,« skriver hun. 

Man kan gennem et link på portalen Borger.dk selv undersøge, om man står på Robinsonlisten ved at indtaste sit fornavn, efternavn, adresse og postnummer. Her kan man også tilmelde sig, hvis man ønsker at komme på listen.

Man kan også ved at kontakte Borgerservice blive registreret på Robinsonlisten, der netop er udviklet til danske forbrugere, der ikke at modtage reklamer med navn og adresse og at blive ringet op af telefonsælgere.

Erhvervsdrivende, der der påtænker at rette uanmodet henvendelse i markedsføringsøjemed til en bestemt person, skal ifølge Forbrug.dk forinden undersøge, om den personen har frabedt sig markedsføring.

Det var I den forbindelse, at firmaet Gilling opdagede, at CPR-numrene var med på Robinsonlisten. Ifølge direktør Finn Gilling henter firmaet normalt listen, når den bliver opdateret hvert kvartal for at undersøge, om der er sket ændringer i forhold til, hvem der har skrevet sig på listen og ikke ønsker at modtage direkte reklame.

»Vi arbejder med at sikre, at folk ikke får uopfordrede reklamer, og downloadede Robinsonlisten, som vi normalt gør, når den bliver opdateret. Denne gang indeholdt den personnumre. Det er endnu et eksempel på, at CPR-numre ikke kan være identitets- og transaktionsbærende,« siger Finn Gilling til Berlingske.

Fra politisk side er der også krav om svar på, hvordan det kunne ske, at 900.000 danskere har fået afsløret deres CPR-nummer af hendes ministerium.

Enhedslistens retsordfører Pernille Skipper (Ø) oplyser til Berlingske Nyhedsbureau, at hun vil indkalde Økonomi- og Indenrigsminister Margrethe Vestager (R) i samråd for at få en forklaring på, hvad der er sket - og for at få løsninger på bordet. Til Berlingske Nyhedsbureau oplyser Margrethe Vestagers pressemedarbejdere, at ministeren er på ferie. Det har derfor ikke været muligt at få en kommentar.