Internettet presser cpr-systemet

Forbrugerrådet og Rådet for Digital Sikkerhed vurderer samstemmende, at cpr-systemet er forældet og giver problemer i en digital tid. De foreslår, at vi alle i stedet får et simpelt løbenummer.

Udenlandske administratorer, statistikere, politikere, systemfolk og mange andre misunder os vores unikke, danske cpr-nummer. Det gør mange ting meget lettere for myndighederne – og måske også for borgerne.

Men stigende problemer med identitetstyveri og svindel på nettet sætter det 45 år gamle cpr-nummer under pres. Samtidig bliver det sværere og sværere for borgerne at holde deres cpr-nummer hemmeligt – og undgå at få deres identitet misbrugt.

– Problemet er, at cpr-nummeret blev opfundet i en ikke-digital tid. I dag ligger danskernes cpr-numre alle mulige steder, og det øger risikoen for identitetstyveri, sagde jurist i Forbrugerrådet Anette Høyrup til Jyllands-Posten allerede for to år siden – tilbage i sommeren 2011.

På den ene side skal vi holde vores personlige cpr-nummer hemmeligt, på den anden side er det spredt rundt så mange steder både i det offentlige og i det private, at det er nærmest umuligt.

– Når du kender en persons køn og alder, kræver det kun omkring 40 gæt at finde frem til en persons cpr-nummer, siger formand for Rådet for Digital Sikkerhed, Birgitte Kofod Olsen.

Vi skal gøre op med den usunde måde, hvor vi smider nummeret rundt om os. Den måde vi bruger cpr-nummeret på, er gal.
Birgitte Kofod Olsen. Formand for Rådet for Digital Sikkerhed,

Forklaringen er, at der fødes cirka 80 drenge og 80 piger i Danmark hver dag. Da CPR-numrene som regel tildeles i rækkefølge, skal man typisk blot igennem de første numre på listen for at finde det rigtige. I gennemsnit er 40 gæt altså nok, hvis man i forvejen kender køn og fødselsdag.

Alligevel deler formanden for HK/Samdata ikke den bekymring.

– Jeg mener ikke, at internetsvindel med identiteter er så stort – selv om det er i stigning. Man skal ikke tage beslutninger ud fra frygt, men ud fra sammenhængende cost-benefit-analyser. Kan det betale sig? Spørger Thomas Bisballe, der repræsenterer SAMDATA\HK i Rådet for Digital Sikkerhed.

Usund cpr-kultur

Hvis man skal tro kritikerne fra blandt andet Forbrugerrådet og Rådet for Digital Sikkerhed, så er det kendte ti-cifrede personnummer modent til at gå på pension – eller direkte i graven. Ikke bare fordi nummeret er for nemt at finde frem til, men også fordi det i sig selv indeholder private oplysninger som personens køn og alder.

– Vi skal gøre op med den usunde måde, hvor vi smider nummeret rundt om os. Den måde vi bruger cpr-nummeret på, er gal, lyder det fra Birgitte Kofod Olsen, og hun får støtte af lektor og ph.d. i datalogi på RUC, Niels Christian Juul.

– Vi bør ikke gemme alder og køn. Man skal aldrig lægge forskellige oplysninger ned i det samme felt – og slet ikke i en nøgle, man bruger til at slå op i en database. Det går altid galt på et tidspunkt. For eksempel når man får brug for et tredje køn, siger han med henvisning til de problemer, som transkønnede render ind i.

Gennem de 45 år er cpr-nummeret også skiftet fra at være en nøgle til at sikre sagsbehandling af borgernes skat til at blive en nøgle i mange andre sammenhænge. Netop det, som de misunder os i udlandet, er blevet systemets akilleshæl.

– Vi misbruger i øjeblikket cpr-nummeret til identifikationskontrol. Det misbrug må bringes til ophør, siger Niels Christian Juul, der også er medlem af Rådet for Digital Sikkerhed.

På en måde kan man sige, at cpr-nummeret i sig selv er blevet password til en lang række personlige og private oplysninger om os som borgere. Det var præcis den mulighed, der lagde den visionære plan om et borgerkort i graven i midten af 1990’erne.

Tatover CPR-nummer i panden

Niels Christian Juul er ikke tilhænger af, at vi skal forsøge at holde vores personlige id-nummer skjult. Ikke bare fordi det ikke kan lade sig gøre i praksis, men fordi hemmeligholdelsen opfordrer til at bruge personnummeret som password, som det sker i mange sammenhænge i dag.

– For mig at se er cpr-nummeret bare en nummerplade på folk, så vi kan ligeså godt tatovere den i panden, og så vil mange problemer være undgået, siger han.

To centrale begreber, der nemt bliver rodet sammen, når man snakker cpr er autentifikation og identifikation.

Autentifikation stammer fra græsk og betyder at bestemme om noget er originalt eller ægte – altså genkendelse i en bestemt sammenhæng.

Identifikation er genkendelse uden for en bestemt sammenhæng – altså mellem en fysisk person og eksempelvis en service eller rettighed.
Man kan sige, at identifikation er en påstand. Autentifikation er kontrol af påstanden.

Med cpr-nummeret bruger vi identifikation som grundlag for at bevise rettigheder – vi kunne nøjes med autentifikation. Den diskussion er vigtig, mener formand for SAMDATA\HK, Thomas Bisballe.

– Det vil være klogt at få adskilt identifikation og autentifikation. Men lige nu er det et uheldigt tidspunkt, fordi der sker mange andre ting på det område, siger han.

Svensk åbenhed

En anden vej er åbenhed, så det i et åbent, demokratisk samfund ikke bliver så hemmeligt, hvem der er hvem. Den løsning, hvor man i overført betydning har tatoveret sit cpr-nummer i panden, vil forhindre at myndigheder og private virksomheder bruger cpr-nummeret som password.

Det har man i Sverige. Hinsidan har de et cpr-nummer, der på mange punkter ligner det danske. Men nummeret er ikke hemmeligt. Det kan man slå op ligesom folks adresse og telefonnummer. Ud af det svenske personnummer kan man ud over køn og fødselsdato også se, hvis man er første-generationsindvandrer og har fået et cpr-nummer ved indrejsen. Tilsyneladende volder det ikke svenskerne de store kvaler.

– Men vi kan ikke fra den ene dag til den anden gå ud og offentliggøre cpr-numrene. Borgerne vil blive tabere ved at lægge identiteten ud. Det scenarie er ligeså dyrt og besværligt som vores løsning, siger Birgitte Kofod Olsen og henviser til rådets forslag om at indføre et helt nyt cpr-nummer til erstatning for det gamle.

– Vi skal bare passe på vores adressehemmelighed. Hvis personnummeret bliver offentligt kendt, bør der stadig være mulighed for holde adresse og telefonnummer hemmeligt, tilføjer Niels Christian Juul.

Cpr-raket i fire faser

Rådet for Digital Sikkerhed foreslår en reformation af cpr-systemet i fire trin. Første trin handler om at give personer, der har været udsat for identitetstyveri, et nyt personnummer – hvis det vil løse problemet. I andet trin kan borgerne betale sig fra at få et nyt personnummer uden alder og køn. Først i trin tre får alle borgere i Danmark et nyt personnummer i takt med, at de skal have nyt sygesikringsbevis, kørekort eller pas.

I sidste fase skal cpr-systemet afløses af et nyt digitalt identifikationssystem, hvor IT-sikkerhed og beskyttelse af privatlivet er indbygget.

Vi har allerede i dag et rimeligt velfungerende system til identifikation og underskrift, NemID. På trods af jævnlig kritik af det lavpraktiske papkort med koder og problemer med, at web-løsningerne er hængt op på programmeringssproget Java, så virker NemID i hverdagen.

Men ifølge Rådet for Digital Sikkerhed haster det med at komme i gang med en afløser for det gamle cpr-nummer. Retningslinjerne bør nemlig være på plads til år 2015, hvor der skal være udbud om afløseren for den nuværende NemID-løsning.

Borgeren skal have råderetten tilbage

I en digital tid bør borgeren genvinde retten til at styre, hvad andre – også myndighederne – har adgang til at vide om ens person. Det gamle cpr-nummer har gennem årene også været nøgle til mange former for samkøring af registre. Det skal være slut, mener rådet.

– Et af de vigtigste kendetegn i et demokrati er vores frihed. Det indebærer, at vi som individer selv kan bestemme over vores krop og ting, og det bør også gælde vores data. Muligheden for at værne om vores egne data skal sikres. Det er en råderet, vi må have som borgere, siger Birgitte Kofod Olsen.

\ Identifikation og autentifikation i Danmark

1924
– Danmark vedtager en lov om registrering af befolkningen, hvor det pålægges kommunerne at oprette og vedligeholde registre over borgerne.

1968
– Den 2. april bliver et centralt register med fælles cpr-nummer indført i Danmark.

1972
Cpr-nummeret bliver indført i Grønland. Cpr står for det Centrale PersonRegister. Nummeret er først og fremmest beregnet til at styre inddrivningen af kildeskat, der bliver indført i 1970. Cpr-nummeret bruges kun af Skattevæsenet, ATP og Danmarks Statistik.

1991
– Cpr-registret omlægges til en helt ny platform baseret på DB2, Natural og CICS. En omfattende manøvre, der ligefrem kaldes The Big Bang. Det lykkes uden fejl og skandale.

1996
– Visionsrapporten Infosamfundet år 2000 foreslår et elektronisk borgerkort med en række grundlæggende oplysninger om danskerne. Ideen kommer i kraftig modvind. Mange frygter, at det magtfulde kort vil føre til overvågning og kan misbruges, og regeringen opgiver tanken.

1997
– Fra indførelsen af det fælles cpr-nummer i begyndelsen i 1968 benyttede man et begrænset EBCDIC-tegnsæt med 30 store bogstaver. Det betød, at man ikke kunne stave borgernes navne korrekt i alle tilfælde. I 1997 skifter man til code page 277 med i alt 114 små og store bogstaver, dvs. at cpr kunne håndtere næsten alle specielle nationale bogstaver i europæiske sprog, som anvender det latinske alfabet.

1998
– Brugerne af cpr-registret tilbydes en grafisk løsning, der kører i en webbrowser.

1999
– 75 års jubilæum for borgerregistreringsloven. Cpr-nummeret bruges nu i alle dele af den offentlige sektor – og i de dele af den private sektor, hvor loven tillader brug af cpr.

1999
– Regeringen iværksætter ni pilotforsøg med digital signatur. Forsøgene flopper – teknikken er ikke moden. Samtidig er der mange formelle problemer i love og regler, der gør det kompliceret at bruge elektronisk underskrift, som den digitale signatur populært kaldes.
I forbindelse med implementeringen af digital signatur foreslår Forskningsministeriet at indføre et Personspecifikt Identifikationsnummer (PID), der kan ligge i den digitale signatur. Med et PID kan man slå cpr-nummeret op.

2000
– En ny cpr-lov flytter ansvaret fra vedligeholdelsen af cpr-registret væk fra kommunerne og over til de myndigheder, der er i kontakt med borgerne i forbindelse med fødsler, navngivelse, vielse, skilsmisse, navneændringer, dødsfald osv.
De fleste danske banker har etableret netbankløsninger, der giver kunderne sikker adgang til deres bankkonto ved hjælp af en digital signatur. Men bankerne og regeringen kan ikke blive enig om et fælles system.

2003
– Regeringen skriver kontrakt med TDC om at udrulle den første digitale signatur til danskerne til brug for borgernes henvendelser til myndighederne. Den digitale signatur er en slags elektronisk underskrift, der kan bruges til at bekræfte, at afsenderen af en mail eller en elektronisk anmodning er den, han udgiver sig for at være. Den digitale signatur er uden chipkort – i stedet ligger den som et stykke software på afsenderens computer.

2004 – Bankerne etablerer et fælles system, Net-ID, der giver kunderne adgang til netbank. Net-ID konkurrerer med det offentliges Digitale Signatur. Skat og KMD har hver deres system med en pinkode.

2010
– NemID er anden generation af digital signatur. I modsætning til den digitale signatur skal den ikke installeres på brugerens computer. I stedet opbevares nøglen i et centralt nøglecenter. Til gengæld er der to-trins sikkerhed med både selvvalgt kode samt en skiftende pinkode.