Lukning af CPR-hul er en lappeløsning
Det er en lappeløsning på et meget større problem, når Margrethe Vestager standser for at virksomheder – bl.a. flere teleselskaber - anvender navne og CPR-numre til validering af kunder. Vestager håndterer stadig ikke det problem, at CPR-numrene kan blive lækket i alle mulige andre sammenhænge og derfor i realiteten er umulige at holde hemmelige, mener DANSK IT.
I flere år har det været muligt at skaffe sig adgang til danskernes CPR-numre via flere teleselskabers hjemmesider. Og selvom teleselskaberne var begyndt at fastsætte en grænse for, hvor mange gange man kunne forsøge at validere de sidste fire cifre i et CPR-nummer, kunne man stadig høste CPR-numre ved at indtaste navn/adresse i selskabernes bestillingsformularer. Det tog bare længere tid.
Læs også ”Vestager lukker for CPR-validering” (eksternt link)
Så længe loven siger, at CPR-numrene skal beskyttes, er det derfor naturligt, at man nu lukker dette hul. Men det løser slet ikke det grundlæggende problem med, at CPR-numre bruges i så mange forskellige sammenhænge, at de er umulige at holde hemmelige.
Læs også ”CPR-systemet er en faglig fornærmelse” (eksternt link)
Den bedste måde at beskytte os imod, at CPR-numre bliver anvendt i forbindelse med identitetstyveri, er derfor i virkeligheden, hvis loven laves om, så CPR-numre ikke længere skal betragtes som hemmelige. For i det øjeblik de er offentligt tilgængelige, er der ingen, der vil tillægge besiddelsen af et CPR-nummer nogen værdi i relation til at fastslå en identitet.
Det er derfor heller ikke tilstrækkeligt, når Margrethe Vestager tilkendegiver, at løsningen er, at der skal fremmes en holdning hos virksomheder om ikke at anvende CPR-numre i forbindelse med legitimation af deres kunder.
Der er snarere behov for, at vi én gang for alle får fjernet den efterhånden meget dyre illusion om, at CPR-numre er hemmelige. Og det gør man kun, hvis man ikke har en lovgivning, der siger, at CPR-numre skal beskyttes. Så længe loven dikterer, at CPR-numre er beskyttede, vil man tillægge dem en værdi, de ikke har i praksis. Der er ingen grund til at klamre sig til en lovgivning, der ikke svarer til virkeligheden.
Hvis lovgivningen derimod signalerer, at CPR-numrene er offentlige, vil virksomheder og myndigheder anvende andre metoder end CPR-numre til at finde ud af, hvem folk er i forbindelse med salg, långivning eller udveksling af personfølsomme oplysninger. På den korte bane kan virksomhederne bede om kreditkortsoplysninger og/eller anvende NemID, hvor udviklingen af en mobil løsning gerne må speedes op. På den længere bane bør regeringen sørge for, at der indføres et borgerkort, som man kan bruge som legitimation såvel online som i den fysiske verden.