Kommunaludvalget 2012-13
KOU Alm.del
Offentligt
Økonomi- og indenrigsminister Margrethe Vestagers talepapir
Det talte ord gælderAnledning:Samråd Y
Tid og sted: Fredag den 28. juni
Spørgsmål Y”Finderministeren det acceptabelt, at en almindelig borger harfået adgang til CPR-numre på en lang række danskere, herunderministerens eget CPR-nummer og den nuværende og denforhenværendesstatsministersCPR-nummer,ogsåfremt
ministeren ikke finder dette acceptabelt, hvorledes vil ministerenså forhindre at det gentager sig?”Talens struktur og væsentligste budskaber- Datatilsynet kan gribe ind, hvis private uden samtykkeoffentliggør andres personnumre.-CPR-valideringhar tjent et sagligt og fornuftig formål somsupplement til yderligere identitetskontrol, men afskaffes nu.- Fremadrettet skal identitetskontrol ske på anden og mere sikkervis end ved CPR-valideringf.eks. ved brug af NemID.- Personnummeret er ikke en-pin-kode.
IndledningJeg går ud fra, at der med samrådet ønskes min stillingtagen tilfordele og ulemper ved muligheden for via opslag i CPR at
sikresig, at de oplysninger, som en kunde afgiver i en nethandel,er korrekte.
1. Offentliggørelse af bl.a. mit personnummer på internettetSom de fleste nok ved, har en It-studerendefor nylig offentliggjortbl.a. mit personnummer på en hjemmeside.Et er at kende ellertilegne sig en anden persons personnummer - enten på lovlig ellerulovlig vis - noget andet er at offentliggøre det uden samtykke. Deterikkealeneuacceptabelt,menogsåforbudtefter
persondataloven.
Datatilsynet gik da også ind i sagen og udstedte den 10. juni etpåbud om at ophøre med offentliggørelsen.
2. CPR-valideringDen pågældende person har – udstyret med mit navn, adresse ogfødselsdato – givetvis tilegnet sig de sidste fire cifre i mitpersonnummer på Ikanobank.dk.
På denne hjemmeside anvendes i forbindelse med låneansøgningsåkaldt CPR-validering, hvilket indebærer, at det via et opslag iCPR sikres, at der er overensstemmelse mellem det indtastedenavn,adresseogpersonnummer.Hervedsikreskorrekt,
automatisk registrering af låneansøgeren, ligesom oplysningernekan indgå som supplement til virksomhedens efterfølgendeidentitetskontrol.
Den pågældende person har ved gentagne indtastninger af mitnavn, adresse og et gættet personnummer på et tidspunkt fåetbekræftetsammenhængenmellemdeindtastede
oplysninger.Vedkommende har udnyttet, at der sjældent er tildeltmere end 270 personnumre pr. køn på en given fødselsdato.
2
Virksomhedernes anvendelse af CPR-validering skal overholde degældende vilkår for adgang til CPR, hvorefter CPR-validering skalindrettes således, at uvedkommende ikke på en hjemmeside kanfå bekræftet sammenhængen mellem et indtastet navn ogpersonnummer.
Hvis
CPR-kontoret
bliver
bekendt
med
overtrædelse
af
vilkårene,har CPR-kontoret mulighed for øjeblikkeligt at lukke foradgangen til CPR, indtil den krævede sikkerhed er på plads. Detskete, da det kom frem, at man på Ikanobank.dk kunne foretagegentagne indtastninger.
Vi har løbende overvejet, om vi fortsat skulle bevare mulighedenfor denne form for CPR-validering.
Siden CPR-systemets indførelse i 1968 har man i øvrigt hos enkommune kunnet få af- eller bekræftet sammenhængen mellem etnavn og et personnummer i forbindelse med udlevering af f.eks.adresseoplysninger fra CPR. Det er naturligvis en mereomstændelig proces, men ikke desto mindre en mulighed.
Vi har indtil nu bibeholdt muligheden for CPR-validering med navnog personnummer, fordi vi har vurderet, at denne mulighed hartjent som et sagligt og fornuftigt formål – nemlig som supplementtil en virksomheds identitetskontrol og til at sikre korrekt,automatisk registrering af nye kunders navn og adresse medoplysninger fra CPR. Dette har været oplevet som en fordel forsåvel kunder som virksomheder.
Der er imidlertid sket meget, siden det blev muligt at foretageCPR-validering, særligt er udbredelsen af internettet og dermed
3
handel på nettet blevet meget omfangsrigt. Men via internettet harvi nu også fået mulighed for at sikre identiteten på de personer,der agerer på nettet, nemlig via NemID, som blev indført i juli2010, og som siden da er blevet anvendt i støt stigende grad. Denrene udgift for en virksomhed til at sikre identiteten på en kundevia brug af NemID er én krone. Altså en mindre udgift til gavn forbåde borgere og virksomhederne.
Virksomhederne har altså i dag langt bedre mulighed for at sikresig identiteten på person, de handler med, hvis de anvenderNemID i deres hjemmesideløsninger. En del virksomhederkombinerer allerede i dag CPR-valideringen med krav omanvendelse af NemID. Jeg mener, at det er den helt rigtige vej atgå for at opnå større sikkerhed for, at der handles med den rigtigeperson.
Gennem kundekontakten er det i øvrigt CPR-kontorets opfattelse,at kunderne i vidt omfang baserer sig på NemID, når de udviklernye web-løsninger. Antallet af web-løsninger, der anvender CPR-validering uden at kombinere det med NemID, er derfor aftagendeog vil formentlig fortsat aftage med den stigende brug af NemID.
Når det efter planen i 2014 bliver muligt generelt at anvendeNemId på tablets og lign., vil denne udvikling formentligforstærkes yderligere.
Der er således i dag kun et mindre antal virksomheder tilbage -omkring 10, primært teleselskaber - som anvender CPR-valideringpå navn og personnummer.Jeg mener, at tiden er inde til, at viafskaffer denne løsning- særligt fordi vi i det offentlige stiller ensikker løsning til rådighed for virksomhederne i form af NemID,
4
men også set i lyset af den megen fokus i medierne påmuligheden for misbrug af denne form for CPR-validering.
Når nu det offentlige med NemID tilbyder en sikker løsning tilidentifikation, skal vi ikke samtidig tilbyde en mere usikker løsning,og virksomhederne må selv tage ansvaret for at sikre identitetenpå deres kunder.
Jeg har derfor bedt CPR-kontoret tage kontakt til de forholdsvis fåtilbageværende virksomheder, der fortsat CPR-validerer på navnog personnummer og orientere virksomhederne om, at vinu lukkerfor denne mulighed for CPR-validering. Det har CPR-kontoret gjortden 25. juni.
Vi vil også overveje at skærpe kravene til virksomhedernes brugaf CPR i forbindelse med handel over internettet, således atvirksomhederne fremover skal bruge NemID, hvis de vil benyttederes adgang til CPR.
Vi vil selvfølgelig i den forbindelse snarest tage en dialog medbl.a. teleselskaberne om, hvor hurtigt de kan lave løsninger, derfremover kan sikre kundernes identitet via NemID, således atkunderne kan være trygge ved at handle på nettet, og handlerneikke er baseret på falsk tryghed.
3.Personnummerets funktionHerudoverviljeggernetilføje,atviskalhuske,at
personnummeret ikke er en pin-kode eller et pass-word. Det er ensimpel nøgle, som er massivt udbredt og anvendt både i denoffentligeogprivatesektor,f.eks.hosbanker,
forsikringsselskaber, teleselskaber, fitness-centre mm., og som
5
også optræder i dagligdagen ved forevisning af pas, kørekort,sundhedskort, lønsedler m.m., hvor der er anført personnummer.
Jeg mener dog heller ikke, det vil være den bedste løsning atgørepersonnummeret offentligt, som det har været fremme i debatten.
Vi skal derfor i stedet arbejde med en holdningsændring både hosos selv som borgere og i det offentlige, men særligt i erhvervslivet,så det bliver klart, at personnummeret ikke er en pin-kode eller etpass-word. Personnummeret kan alene tjene som et supplementtil at sikre sig identiteten på en person. Det må aldrig stå alene.
Jeg oplyste på det tidligere samråd den 4. april 2013 omidentitetsmisbrug, at regeringen ville tage initiativ til at rejseproblemstillingen om identitetskontrol over for de relevantevirksomhedervækstministerenogharbrancheorganisationer.Erhvervs-efterfølgendeden22.aprilogskrevet
tilTeleindustrien, de største teleselskaber, Dansk Erhverv ogDanskIndustriomproblematikkenmedmisbrugaf
personoplysninger og tilskyndet til, at identitetskontrollen indrettessåledes, at misbrug minimeres.
6
