CPR numre og sikkerhed

Hvordan i alverden kan det være en hemmelighed at CPR numre er forholdsvis nemme at gætte sig frem til? Kender man en persons fødselsdato og køn er det enkelt at udregne den meget lille gruppe af mulige CPR numre personen kan have, og kender man tilfældigvis også personens navn er det trivielt at få konstateret hvilket af disse numre der er korrekt.

Og rigtig mange personers navne og fødselsdatoer er offentligt kendte. Da tidligere indenrigs- og sundhedsminister Bertel Haarder påstod at løsningen på identitetstyveri blot var at sørge for at virksomheder skulle overholde persondataloven, blev det demonstreret hvor nemt det hele var: 10 minutter og ministerens CPR nummer var fundet.

Løsningen er heller ikke at pludselig gøre fødselsdatoer til personfølsomme informationer, sådan som det sågar også herhjemme har været foreslået. Enhver der har gået i skole eller arbejdet i en virksomhed (læs: alle) vil vide at den slags informationer faktisk ikke betragtes som specielt følsomme og der er masser af kilder til at finde dem. At gøre det til f.eks. et Facebook problem er ude af kontakt med virkeligheden.

Problemet er snarere i tre led:

1) Der er faktisk mennesker i Danmark der tror at deres CPR nummer er hemmeligt og ikke til at regne ud, bare de passer godt på det.

2) Nogle virksomheder synes at det er tilstrækkeligt for at etablere et kundeforhold at have en persons navn og CPR nummer.

3) Det offentlige vil ikke anerkende at CPR numre nemt kan udregnes og derfor ikke er hemmelige.

Det seneste års tids avisartikler og historier om identitetstyveri burde begynde at hjælpe på (1) men det vil være naivt at håbe på hjælp fra det offentlige. Her lader den fremstrakte hånd kun til at kunne nå et par cifre mere i kontrolcifrene.

Til gengæld har virksomhederne alle muligheder for at stramme op på deres egen praksis. Desuden må der være et marked der ligger for fødderne af Experian / RKI / Ribers: At give privatpersoner muligheden for at komme på en ny liste, en liste over personer for hvem der ikke bør indgås aftaler uden yderligere dokumentation. Mange virksomheder abonnerer allerede på Experians liste over registrerede skyldnere og denne udvidelse vil kunne give informationerne mere værdi.

Dette indlæg blev udgivet i IT sikkerhed og tagget , . Bogmærk permalinket.

4 svar til CPR numre og sikkerhed

  1. Morten siger:

    Det mest skræmmende er dit punkt 2 – at navn+CPR nummer flere steder er nok identifikation. For et års tid siden så jeg en dokumentar, hvor en journalist med en anden persons sygesikringskort kunne oprette en Magasin konto, og melde adresseændring på posthuset. Sidstnævnte har PostDK vist rettet op på, men der er masser af udbydere af kviklån, der er mindre kritiske…..og når regningen så skal betales er det op til dig at bevise at du ikke har gjort noget. Skræmmende!

  2. Det er fedt hvordan hele CPR-debatten er kommet op, især med nye IT-systemer. CPR løsningen er bare ikke holdbar længere i des nuværende format.

    Løsningen bør vel være at “nedgradere” CPR-nummeret, så man ikke direkte kan bestille ting bare med CPR+adresse. Godt at Post Danmark har opdateret det som ovenstående nævnte.

  3. Pingback: Endnu et blog-år | Hennings blog

  4. Pingback: Beklager, det giver heller ikke mening | Hennings blog

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s