B 100 Forslag til folketingsbeslutning om styrket beskyttelse af personnummeret.

Af: Peter Skaarup (DF), Pia Adelsteen (DF), Kim Christiansen (DF), Kristian Thulesen Dahl (DF), Søren Espersen (DF) og Dennis Flydtkjær (DF)
Udvalg: Retsudvalget
Samling: 2012-13
Status: Bortfaldet

Beslutningsforslag som fremsat

Fremsat: 04-04-2013

Fremsat: 04-04-2013

Fremsat den 4. april 2013 af Peter Skaarup (DF), Pia Adelsteen (DF), Kim Christiansen (DF), Kristian Thulesen Dahl (DF), Søren Espersen (DF) og Dennis Flydtkjær (DF)

20121_b100_som_fremsat.pdf
Html-version

Fremsat den 4. april 2013 af Peter Skaarup (DF), Pia Adelsteen (DF), Kim Christiansen (DF), Kristian Thulesen Dahl (DF), Søren Espersen (DF) og Dennis Flydtkjær (DF)

Forslag til folketingsbeslutning

om styrket beskyttelse af personnummeret

Folketinget pålægger regeringen ved begyndelsen af folketingsåret 2013-14 at fremsætte lovforslag, der sikrer, at der skabes hjemmel til, at personer, der har været udsat for misbrug af deres cpr-nummer, kan skifte cpr-nummer. Desuden forventes regeringen at tage initiativ til at fremtidssikre personnummerregisterets sikkerhedsforanstaltninger, så det er bedst muligt sikret mod læk, f.eks. ved hacking af registeret, der i værste fald kan betyde, at det eskalerende identitetstyveri i Danmark sker centralt og ikke kun i forbindelse med den enkeltes brug af sit cpr-nummerr.

Bemærkninger til forslaget

Formålet med forslaget er at få styrket personnummerbeskyttelsen, så misbrug af cpr-numre (identitetssvindel) gøres langt vanskeligere, end det er i dag. Forslagsstillerne mener, at et væsentligt tiltag i forhold til at bekæmpe identitetssvindel vil være, at der skabes mulighed for at skifte cpr-nummer. Dette kan enten ske, ved at der skabes hjemmel til, at det nuværende cpr-nummer kan skiftes i tilfælde af identitetstyveri og -svindel, eller ved at personnummerregisteret reformeres, så en persons cpr-nummer gøres til et »grundpersonnummer«, der ikke kan eller skal bruges i konkrete systemer hos offentlige myndigheder, banker m.v. I stedet genereres et relevant antal områdespecifikke numre ud fra grundpersonnummeret, og disse anvendes i forbindelse med den enkeltes konkrete identifikationsbehov. De genererede områdespecifikke numre skal uden videre kunne ophøre med at have gyldighed og skal således let kunne afløses af et tilsvarende nygenereret nummer, hvis det første opsnappes og misbruges (identitetssvindel). Desuden forventes regeringen at tage initiativ til at fremtidssikre personnummerregisterets sikkerhedsforanstaltninger, så det er bedst muligt sikret mod hacking m.v., der i værste fald kan betyde, at identitetstyveriet sker centralt og ikke kun i forbindelse med den enkeltes brug af sit cpr-nummer.

Konsekvenser af identitetstyveri

Der har i de senere år været et stigende problem med identitetstyveri og misbrug af identitet. Omfanget er svært at identificere præcist, men det er bl.a. forsøgt gjort i rapporten »Identitetstyveri« fra 2009 af Peter Kruize, Det Juridiske Fakultet, Københavns Universitet. (Se også artiklen »Flere danskere oplever identitetstyveri«, jp.dk den 18. juni 2011 kl. 23.45). Det stigende omfang skyldes især den teknologiske udvikling og internettets muligheder, og myndighederne har ikke efter forslagsstillernes opfattelse på samme tid haft de nødvendige redskaber eller prioriteret området i stort nok omfang til at forhindre og forebygge denne udvikling.

Der er efter forslagsstillernes opfattelse ingen tvivl om, at identitetstyveri og svindel med identiteter er en ubehagelig og krænkende oplevelse for offeret, som må leve i konstant usikkerhed for at blive misbrugt af tyven, der f.eks. har stjålet offerets cpr-nummer. Ofrene mister kontrollen over deres egen identitet og har ikke chance for at forhindre misbruget, samtidig med at de mødes med skepsis, hvis de påstår, at det ikke er dem, der f.eks. har købt en dyr vare på nettet. Offeret kan jo stå i den situation, at offeret ikke har den fjerneste idé om, hvem gerningsmanden er - eller hvordan den pågældende er kommet i besiddelse af offerets identitetsoplysninger - men hvor det i hvert fald kan konstateres, at der løbende dumper regninger og rykkere ind ad offerets brevsprække. Der er endvidere eksempler på, at identitetstyve har hævet ofrenes løn, oprettet nye konti i ofrenes navne og ændret ofrenes adresse flere gange, selv om familien ikke er flyttet.

Senest har BT beskrevet, hvordan dj'en og radiostation-ejeren Philip Lundsgaard har fået stjålet sit kørekort, der lå hos Hørsholm Kommune. Efterfølgende har han været udsat for et sandt mareridt, da ukendte gerningsmænd udnyttede hans cpr-nummer til at købe dyre varer over internettet.

Lidet betryggende var der således den 25. oktober 2012 indbrud hos Borgerservice i Hørsholm, der ligger på rådhuset. Her blev der stjålet omkring 100 pas og 20 kørekort, herunder altså Philip Lundsgaards kørekort, hvoraf hans cpr-nummer fremgår. Materialet lå i et opbrydeligt skab. Omkring en måned efter tyveriet fra Borgerservice i Hørsholm fik Philip Lundsgaard en meddelelse fra et inkassofirma, hvoraf det fremgik, at den iPad, han havde købt over nettet, ikke var blevet betalt. Problemet var bare, at Philip Lundsgaard aldrig havde købt en iPad. Det havde de personer, som var i besiddelse af hans nye kørekort og dermed cpr-nummer til gengæld gjort. Det samme gentog sig ifølge BT ikke længe efter, hvor det drejede sig om skitøj for flere tusinde kroner. Begge gange kontaktede Philip Lundsgaard politiet og sin advokat. Efter Philip Lundsgaard kontaktede politiet og ved hjælp af hans advokat gjorde det klart for inkassofirmaerne, hvordan sagen lå, er inkassosagerne blevet droppet. Men siden han ikke kan få et nyt cpr-nummer, er der ikke meget, han kan gøre for at forhindre fremtidige online-køb ved hjælp af hans stjålne kørekort og cpr-nummer. Han kan blot melde det til politiet, hvis det sker igen. (Se bt.dk den 17. dec. 2012: »Kendt DJ offer for identitetstyveri: Det kan ødelægge mit liv«).

En åbenlys kilde til problemerne er desuden, at persondataloven ikke overholdes. Der findes desværre for mange eksempler på, at erhvervsdrivende i forbindelse med handler forlanger personoplysninger, de ikke lovligt kan kræve, og de opbevarer dem måske for lemfældigt eller giver dem måske endda videre enkeltvis eller som lister med kundeoplysninger. Forbrugerne kan utvivlsomt også blive bedre til at beskytte egne personoplysninger. Selv om der således er tale om store sikkerhedsproblemer i de mønstre, der er i vores handelsliv, mener en førende ekspert på it-kriminalitetsområdet, Joseph Kiniry, at et mindst lige så stort potentielt problem med personnummerbeskyttelsen og med stjålne identiteter ligger et helt andet sted.

Det nuværende personnummerregister er forældet, og det udgør i sig selv en kilde til usikkerhed. Rigtig mange personfølsomme oplysninger i det danske samfund er bundet til cpr-nummeret, og alle cpr-numre er samlet i et stort register, der potentielt kan hackes. På BT's spørgsmål om, hvorvidt hackere som eksempelvis Anonymous vil kunne få adgang til cpr-registeret, svarer Joseph Kiniry:

»Anonymous ville godt kunne få adgang til registrene. Det ville tage lang tid - måske seks måneder - men det ville formentlig kunne lade sig gøre. Men det er ikke kun trusler udefra, man skal bekymre sig om. Også folk inden for systemet kan potentielt lække fortrolige oplysninger«. (Se bt.dk den 18. december 2012: »Identitetstyveri er en bombe under cpr-registeret«).

Også Forbrugerrådet er kritisk over for det nuværende cpr-register og især den manglende sikkerhed, der omgærder brugen af cpr-nummeret i de mange sammenhænge, danskerne bruger det. Jurist i Forbrugerrådet Anette Høyrup har til Jyllandsposten udtalt: »Problemet er, at cpr-nummeret blev opfundet i en ikke-digital tid. I dag ligger danskernes cpr-numre alle mulige steder, og det øger risikoen for identitetstyveri«. (Se artiklen »Forbrugerrådet: Cpr-nummeret er forældet« på jp.dk, publiceret den 16. juli 2012).

Mulighed for at skifte personnummer

I foråret 2012 behandlede Retsudvalget på baggrund af det voksende problem med identitetstyveri et beslutningsforslag fra forslagsstillerne om en særskilt straffelovsparagraf om identitetstyveri med en strafferamme på 2 års fængsel, som man har det i Norge. Som led i udvalgsbehandlingen afholdt Retsudvalget den 8. maj 2012 en åben høring om identitetstyveri, herunder om, hvad der kan gøres for at forhindre misbrug af andres personoplysninger og identitet. Her kunne man notere sig, at Digitaliseringsstyrelsen, politiet og andre har påbegyndt et arbejde med at styrke råd og vejledning, herunder en bevidsthedskampagne til forbrugere og virksomheder - en strategi, der er i tråd med de bestræbelser på sikker information, man i et stykke tid har haft glæde af i Norge.

På høringen fik udvalget desuden indblik i, at man i Norge har været i færd med at undersøge, hvilke tekniske designs der ville kunne tages i brug for at beskytte cpr-numre bedre, herunder designs, der giver mulighed for at skifte personnummer. I Norge har man ifølge organisationen NORSIS, som deltog på Retsudvalgets høring, set på en model, der opererer med et grundpersonnummer, hvorfra et antal områdespecifikke personnumre kan genereres og nygenereres, i fald et eller flere af en persons områdespecifikke personnumre er blevet misbrugt, eller hvis der er grund til at tro, at det vil ske.

Så vidt vides har den danske regering ikke offentligt forholdt sig til sådanne nytænkende løsningsmodeller. I sit indlæg under 1. -behandlingen af B 3 om identitetstyveri den 17. januar 2012 lød det imidlertid fra justitsministeren:

»Et af de spørgsmål, som har været rejst i sagerne om identitetsmisbrug og identitetstyveri, vedrører Det Centrale Personregister, altså cpr-lovgivningen. Der vil jeg bare til slut sige, at Økonomi- og Indenrigsministeriet har oplyst, at der ikke i dag i cpr-loven er hjemmel til, at en person, der udsættes for identitetstyveri, kan få udstedt et nyt personnummer. Men ministeren har oplyst, at man vil tage initiativ til, at vi iværksætter drøftelser mellem Økonomi- og Indenrigsministeriet og Justitsministeriet med henblik på at undersøge, om der kan være tilfælde, hvor tildeling af et nyt personnummer kan have en effekt i henseende til netop at forhindre yderligere identitetsmisbrug«.

Der har mellem Økonomi- og Indenrigsministeriet og Justitsministeriet været afholdt sådanne drøftelser med henblik på at afdække tilfælde, hvor tildeling af nyt personnummer kan have en effekt i henseende til at forhindre yderligere identitetsmisbrug. Men der er stadig ingen tilkendegivelser endsige ambitiøse udmeldinger fra regeringen om, at man snarest vil reformere det danske personnummerregister, så systemet er sikret bedst muligt mod centrale læk og samtidig indrettet, så dets lovhjemmel, grundlæggende principper og funktionalitet understøtter, at borgerne kan identificere sig med personfølsomme oplysninger uden at frygte, at et eventuelt identitetstyveri og et efterfølgende misbrug ikke kan stoppes effektivt, fordi man er bundet livslangt til netop det cpr-nummer, der er blevet opsnappet og misbrugt.

Forslagsstillerne mener, at en reform, der i nødvendigt omfang styrker sikkerheden omkring cpr-registeret centralt og den enkeltes konkrete brug af personnummeret, herunder med muligheden for at udskifte det eller de personnumre, der anvendes konkret, er vigtig at få gennemført hurtigst muligt i Danmark, så vi effektivt kan få bremset den stigende svindel med danske identiteter.

Forslagsstillerne opfordrer Folketingets øvrige partier til at støtte forslaget.

Skriftlig fremsættelse

Peter Skaarup (DF):

Som ordfører for forslagsstillerne tillader jeg mig herved at fremsætte:

Forslag til folketingsbeslutning om styrket beskyttelse af personnummeret.

(Beslutningsforslag nr. B 100)

Jeg henviser i øvrigt til de bemærkninger, der ledsager forslaget, og anbefaler det til Tingets velvillige behandling.