Kommunaludvalget 2012-13
KOU Alm.del Bilag 82
Offentligt
Økonomi- og indenrigsminister Margrethe Vestagers talepapir
Det talte ord gælderAnledning:Samråd O og P
Tid og sted: Torsdag d. 4. april 2013
Spørgsmål O”Med henvisning til de seneste aktuelle sager om brist isikkerheden omkring CPR-numre, f.eks. som vist i indslag påTV2-Fyn den 6. februar 2013, bedes ministeren redegøre foromfanget af sikkerhedsbrist omkring CPR-numre og give et skønover misbrug af CPR-numre og give et skøn over identitetstyveri,herunder tyveri og misbrug af CPR-numre, samt redegøre forhvilke initiativer regeringen vil tage for at styrke sikkerhedenomkring CPR-numrene.
Spørgsmål P
”Vil ministeren i forlængelse af samrådet om CPR-sikkerhedredegøre for, hvilke analyser og overvejelser regeringen har vedr.muligheden for, at man i særlige tilfælde kan tildele nyt CPR-nummer”.
Talens struktur og væsentligste budskaber-Personoplysninger - herunder personnumre - skalbeskyttes.
-
Der gennemføres løbende kontrol med, at det ikke viaprivate virksomheders hjemmesider med integration til CPRer muligt at gætte sig frem til en andens personnummer.
-
Vi kender ikke omfanget af identitetstyveri og misbrug afpersonnumre – men der er stigende fokus på området.
-
Identitetstyveri skal først og fremmest forhindres ved, at derforetages den nødvendige identitetskontrol – det vilregeringen påpege over for erhvervslivet.
-
Regeringen ser samtidig på, om det giver mening at tildelenyt personnummer i særlige tilfælde.
Indledning
Det er meget brede spørgsmål, som rejses under disse samråd,og som samtidig breder sig over flere ministres områder. Jeg skalforsøge at runde de mange emner, så godt som det nu kan ladesig gøre.
1. Persondataloven
Kravene til offentlige myndigheder og private virksomhedersbeskyttelse af personoplysninger, er reguleret i persondataloven,som administreres af Datatilsynet.
Det var derfor også Datatilsynet, som af egen drift den 4. februar2013 efter medieomtale af sagen fra Region Syddanmark, badregionen om en redegørelse om offentliggørelsen af en rækkepersoners personnumre.
Sagen er fortsat under behandling i Datatilsynet, og jeg vil derforikke komme nærmere ind på den konkrete sag.
2
Til brug for samrådet har Datatilsynet mere generelt oplyst, atpersondataloven stiller krav om, at offentlige myndigheder ogprivate virksomheder m.fl. beskytter alle de personoplysninger,som de håndterer, med tilstrækkelige sikkerhedsforanstaltninger.Persondataloven indeholder altså en forpligtelse for dendataansvarlige til at beskytte såvel følsomme oplysninger somfortrolige og almindelige ikke-følsomme oplysninger.
Den dataansvarlige skal derfor sikre sig, at it-systemer,organisation og arbejdsgange indrettes sådan, at kravene omdatasikkerhed efterleves. At sikre at personoplysninger, herunderpersonnumre, ikke uberettiget offentliggøres på en hjemmeside,er utvivlsomt omfattet af den dataansvarliges forpligtelse efterpersondataloven.
I situationer, hvor der er en potentiel risiko for offentliggørelse affortrolige personoplysninger – som personnumre jo er – pegerDatatilsynet på, at der skal udvises særlig påpasselighed.
Det er naturligvis ikke muligt helt og holdent at undgå, atpersonoplysninger ved en fejl offentliggøres.
Datatilsynet oplyser, at hvis det sker, medfører kravet om goddatabehandlingsskik, at den dataansvarlige skal vurdere, om - og igivet fald hvordan - de berørte personer skal underrettes.
God databehandlingskik betyder også, at den dataansvarlige skalrydde op efter fejlen eller sikkerhedsbristen og forsøge atbegrænse skadevirkningerne. Ved uberettiget offentliggørelse påinternettet skal oplysningerne derfor fjernes fra hjemmesiden i enfart, og den ansvarlige må prøve også at få dem fjernet fra Googleog andre søgemaskiner.
3
Hvad angår omfanget af sager, hvor der er tale om brist isikkerheden omkring personnumre, har Datatilsynet oplyst, attilsynet løbende håndterer sager om sikkerhedsbrister herundersager, hvor personnumre er blevet offentliggjort. Alene inden forde seneste måneder er der rejst flere sager ud over den aktuellesag fra Region Syddanmark. Datatilsynets fokus er først ogfremmest på, at få den dataansvarlige til at tage affære og gøredet nødvendige for at begrænse skadevirkningerne. Der kan ogsåblive tale om kritik og forslag til fremadrettede foranstaltninger.
2. Videregivelse af data fra CPR
Inden for mit eget område har det i medierne været fremme, atman ved misbrug af visse selvbetjeningsløsninger påhjemmesider med integration til CPR har kunnet gætte en andenpersons personnummer ved at foretage gentagne indtastninger afnavn og vilkårligt personnummer.
CPR-kontoret har flere gange indskærpet over for virksomhedermed adgang til CPR, at virksomheden skal sikre, at et sådantmisbrug ikke kan finde sted.
Derudover har CPR-kontoret i 2012 gennemført en kontrol af 115private virksomheders anvendelse af CPR.
Kontrollen har vist, at stort set alle virksomheder hver især haretableret foranstaltninger, som forhindrer førnævnte mulighed formisbrug. Det synes jeg er meget positivt.
4
3. Omfanget af identitetstyveri
Der spørges også til omfanget af identitetstyveri og misbrug afpersonnumre.
Jeg har derfor via Justitsministeriet af Rigspolitiet fået oplyst, atidentitetstyveri eller anden form for identitetsmisbrug somaltovervejende udgangspunkt sker for at begå anden kriminalitet,for eksempel forskellige former for berigelseskriminalitet, hacking,databedrageri og chikane og trusler.
Det er ikke muligt umiddelbart ud fra politiets systemer at opgøreantallet af sager om identitetstyveri og anden form foridentitetsmisbrug, der typisk vil være registreret som f.eks. en sagom bedrageri. En opgørelse vil således forudsætte en manuelgennemgang i politikredsene af et meget stort antal potentieltrelevante sager.
Rigspolitiet kan derfor ikke udtale sig med sikkerhed om, hvorvidtder er tale om en stigning i antallet af identitetstyverier, herundertilfælde hvor der sker misbrug af den forurettedes personnummer.
Rigspolitiet har dog oplyst, at der i den seneste tid været et øgetfokus på identitetstyverier, der fra flere sider opleves som etstigende problem.
Derfor har Rigspolitiet, Det Kriminalpræventive Råd ogDigitaliseringsstyrelsen i samarbejde udarbejdet 10 gode råd til atundgå identitetstyveri. Rådene kan findes på DetKriminalpræventive Råds, politiets og Digitaliseringsstyrelsenshjemmesider.
5
4. Identitetstyveri, herunder misbrug af personnummeret
Utilsigtet offentliggørelse af personnummeret kan ske på forskelligvis. Det kan f.eks. ske ved, at en person lægger sit C.V.indeholdende personnummeret ud på internettet. En person kanogså få stjålet sin pung med sundhedskort og kørekort, hvorafpersonnummeret fremgår. Der kan også være tale om, at envirksomhed eller en myndighed ved en fejl offentliggørpersonnumre på sin hjemmeside, som vi har set det i den omtaltesag fra Region Syddanmark.
Personnummeret alene er aldrig tilstrækkeligt til at identificere enperson og må derfor ikke i sig selv kunne medføre, at der f.eks.kan udleveres oplysninger, handles via nettet osv.
Noget tyder på, at langt de fleste tilfælde af identitetstyveri skerved misbrug af personoplysninger, når der handles på internettet.
Det har vist sig, at der findes webbutikker, som tilsyneladendealene baserer deres identitetskontrol på et oplyst navn, adresseog personnummer. Det åbner for misbrug, hvor kriminelle kanhandle i andres navn.
Kriminalitet af den her karakter giver tab for erhvervslivet, menkan frem for alt have store konsekvenser for de sagesløsepersoner, det går ud over, ligegyldigt hvordan vedkommendesidentitet er kommet til den kriminelles kendskab.Der er i dag ikke hjemmel til at tildele nyt personnummer til ofre foridentitetstyveri. Det er der en god grund til. Der er nemlig ikkegrundlag for at antage, at det i almindelighed vil hjælpe at tildelenyt personnummer. Det skyldes først og fremmest, at når enerhvervsdrivende ikke foretager den nødvendige identitetskontrol,
6
kan den kriminelle blot fortsætte misbruget ved brug af det gamlepersonnummer, uanset hvor mange nye personnumre offerettildeles.
Regeringen vil derfor tage initiativ til, at problemstillingen rejsesover for de relevante virksomheder og brancheorganisationer medfokus på vigtigheden af, at man ved indgåelse af handler er megetomhyggelig med at sikre sig, at det er den rigtige person, manindgår aftalen med.
Mange virksomheder anvender allerede CPR i deres webbutikkerbl.a. for at opnå stor sandsynlighed for korrekt identitet. Noglevirksomheder går videre og kombinerer CPR-adgangen med kravom anvendelse af betalingskort eller NemID for at opnå størresikkerhed for, at de har handlet med den rigtige person. Det erefter min opfattelse den helt rigtige vej at gå.
5. Regeringens overvejelser om nyt personnummer i særligetilfælde
Der spørges også til regeringens overvejelser omkringmuligheden for i særlige tilfælde at tildele nyt personnummer.
Når vi taler om muligheden for at forebygge identitetstyveri, er detsom nævnt min helt klare opfattelse, at det der virkelig vil hjælpeer, at erhvervslivet foretager den nødvendige identitetskontrol.Uden den nødvendige identitetskontrol vil kriminelle fortsat kunnekøbe smartphones og Ipads ved brug af offerets gamlepersonnummer. Det er derfor regeringen nu griber fat i derelevante virksomheder og brancheorganisationer og påpegervigtigheden af, at der foretages en ordentlig identitetskontrol.
7
Regeringen ser samtidig på, om det giver mening at tildele nytpersonnummer til ofre for identitetsmisbrug i visse, helt særligetilfælde. Kan der identificeres tilfælde, hvor det faktisk kan hjælpeden person, hvis identitet bliver misbrugt, vil regeringen søge attilvejebringe lovhjemmel til at tildele nyt personnummer.
8