Forældet lovgivning giver frit spil for CPR-misbrug

For nylig kunne Datatilsynet oplyse, at antallet af sager, hvor offentlige myndigheder er kommet til at lække folks cpr-numre er syvdoblet i løbet af fem år. Fra under 10 sager årligt før 2008 til omkring 70 sager i dag. Nogle af sagerne dækker over læk af flere tusind cpr-numre

Umiddelbart skulle man mene, at myndighederne så bare skal blive bedre til at beskytte folks cpr-numre. Hvilket Datatilsynet da også opfordrer til.

Problemet er, at det er en kamp, der er tabt på forhånd. Cpr-numre anvendes nemlig i så mange sammenhænge, at de i praksis er umulige at holde hemmelige. Og derfor skal de selvfølgelig ikke betragtes som hemmelige og kunne anvendes som en slags sikkerhedsnøgle.

Imidlertid er det en illusion, som lovgivningen forsøger at opretholde. Alt imens vi oplever den ene cpr-læk efter den andet, insisterer politikerne på, at vi skal have en lovgivning, der skal beskytte noget, som ikke kan beskyttes.

Det er et kæmpe problem. For så længe loven dikterer, at cpr-numre er beskyttede, vil man tillægge dem en værdi, de ikke har i praksis.

Konsekvensen er, at identitetstyve med et cpr-nummer i hånden har et særdeles godt afsæt for at købe varer i andre folks navn, optage lån eller til at få fingrene i personfølsomme oplysninger.

Den bedste måde at beskytte folk imod cpr-misbrug, er derfor, at lave loven om, så cpr-numre ikke længere skal betragtes som hemmelige.

I det øjeblik cpr-numrene er offentligt tilgængelige, er der ingen myndighed eller virksomhed, der kunne drømme at tillægge besiddelsen af et cpr-nummer nogen vægt i relation til at fastslå en persons rette identitet. Det betyder, at virksomheder og myndigheder skal til at anvende andre metoder til at finde ud af, hvem folk er.

På den korte bane er der mulighed for at anvende NemID. På den længere bane bør man fra politisk hold sørge for, at der indføres et borgerkort, som man kan bruge som legitimation såvel online som i den fysiske verden.

Det betyder bestemt ikke, at cpr-nummer-systemet skal skrottes. Det betyder, at systemet skal anvendes til, hvad det er bedst til. Nemlig til at indkræve korrekte skatter, at samkøre oplysninger og meget mere. Til det er cpr-numre stadig fantastisk effektive. Derimod er cpr-numre elendige som sikkerhedsnøgler – og lovgivningen skal selvfølgelig ikke signalere det modsatte.
Offentliggjort på www.dit.dk den 17. september 2013. Har tidligere været bragt i Jyllands-Posten - den 15. september 2013

DANSK IT afholder den 10. oktober konference om de nyeste teknologier og problemstillinger inden for digital signatur og digital identitet.