Får den forkerte person fingrene i dit cpr-nummer, er du på den. Med lidt snilde kan han nemlig bruge dit personnummer til at få oplysninger om dig i form af alt fra sygejournaler til el-regninger. Hvis skurken er dygtig nok, kan han endda hæve penge fra din bankkonto og oprette betalingskort.
Derfor var det en skandale, da 900.000 cpr-numre i onsdags ved en fejl blev gjort tilgængelige for virksomheder med adgang til en lukket afdeling af cpr-registerets hjemmeside i 50 minutter. Sagen er nu ekstra brænde på kritikernes bål. Kritikere, som de seneste år har kaldt det nuværende system forældet og i stedet opfordrer til, at der skabes et mere sikkert alternativ.
En af dem er Ivan Bjerre Damgård, ekspert i datasikkerhed og professor ved Institut for Datalogi på Aarhus Universitet. Han mener ikke, at cpr-numrene skal afskaffes, men at de skal miste den funktion, der i nogle tilfælde gør det muligt at låse op for private oplysninger med det 10-cifrede nummer.
”Cpr-numre kan bruges som en unik pegepind. For eksempel findes der mange, der hedder Hans Hansen, men måske er der kun én af dem, der mangler at betale skat. Der kan man bruge personnummeret til at udpege denne Hans Hansen. Men problemet opstår, når en given Hans Hansen henvender sig med et cpr-nummer. I det tilfælde skal modtageren ikke tage imod dette som en gyldig bevis på, at han er den, han udgiver sig for at være,” siger han.
I stedet skal det, hvis det står til professoren, være NemID, der beviser Hans Hansens identitet. Login-tjenesten er ifølge Ivan Bjerre Damgård det eneste funktionsdygtige alternativ lige nu.
Knap så stor tilhænger af NemID som en løsning er Jesper Lund. Han er næstformand i IT-politisk Forening.
”Problemet med NemID er, at det jo også er koblet på cpr-systemet. Det giver en større sikkerhed, men systemet er ikke ufejlbarligt. Problemet er, at NemID er en universel login-tjeneste, og det betyder, at hvis du knækker min kode, har du adgang til min sundhedsjournal, netbank, skattemappe og det hele,” siger han.
Jesper Lund foreslår i stedet en løsning, hvor man personligt administrerer forskellige profiler, når man kommunikerer med det offentlige på internettet. Det vil betyde, at hvis en person med urene motiver får adgang til din profil på en given hjemmeside, vil det udelukkende være denne, han har adgang til på dine vegne.
I oktober sidste år anbefalede Rådet for Digital Sikkerhed, at cpr-numrene skulle afskaffes. Ifølge formanden, Birgitte Kofod Olsen, er det blevet for usikkert at bruge nummeret i takt med, at vi i stigende grad bliver bedt om at offentliggøre det i forskellige sammenhænge.
Hun foreslår derfor også, at man kunne lade NemID blive markør for at vise, hvem vi er. Og man kunne ændre cpr-numrene til at være en række vilkårlige tal i stedet for at indeholde fødselsdato og køn. En del af den store usikkerhed ved det nuværende system er nemlig, at det reelt blot drejer sig finde de sidste fire tal for en hacker, hvis han kender din fødselsdato og dit køn.
”Kulturen omkring brugen af cpr-numre har ødelagt sikkerheden. Hverken borgere eller myndigheder passer ordentligt på det, hvilket vi ser, når man oplyser personnummer over både e-mail og telefon. Det skal ændres, for det er på tide, at vi får en løsning, der passer til den digitale verden, vi lever i,” siger hun.