Kommunaludvalget 2013-14
KOU Alm.del
Offentligt
1387198_0001.png
Folketingets Kommunaludvalg
Sagsnr.
2014-17493
Doknr.
155059
Dato
08-07-2014
Folketingets Kommunaludvalg har d. 3. juli 2014 stillet følgende spørgsmål nr. 107
(alm. del) til økonomi- og indenrigsministeren, som hermed besvares. Spørgsmålet er
stillet efter ønske fra Michael Aastrup Jensen (V).
Spørgsmål nr. 107:
”Ministeren bedes redegøre for forløbet i forbindelse med at 900.000 CPR-numre blev
offentliggjort d. 2. juli, herunder hvilke tiltag der tages for at undgå, at samme sikker-
hedsbrist kan ske igen?”
Svar:
Efter CPR-lovens § 29, stk. 3, har enhver ret til ved henvendelse til sin bopælskom-
mune at få indsat en markering i CPR om, at den pågældende frabeder sig henven-
delser, der sker i markedsføringsøjemed. En sådan markering giver dels den beskyt-
telse mod markedsføring, der er fastsat i markedsføringslovens § 6, dels den beskyt-
telse mod videregivelse m.v. til brug ved anden virksomheds markedsføring, der er
fastsat i § 36 i lov om behandling af personoplysninger.
Efter CPR-lovens § 40, stk. 4 udarbejder Økonomi- og Indenrigsministeriet en gang i
kvartalet en fortegnelse med oplysning om nuværende navn og adresse samt eventu-
el seneste tidligere adresse inden for de seneste 3 år for samtlige personer, der efter
§ 29, stk. 3, har en markering i CPR om, at de pågældende frabeder sig henvendel-
ser, der sker i markedsføringsøjemed. Personer med navne- og adressebeskyttelse
medtages ikke i fortegnelsen.
Efter § 40, stk. 5, har erhvervsdrivende ret til fra Økonomi- og Indenrigsministeriet at
få leveret en kopi af den i stk. 4 nævnte fortegnelse mod betaling af et beløb til dæk-
ning af de omkostninger, der er forbundet med videregivelsen. Organisationer, der
varetager erhvervsdrivendes brancheinteresser, har på samme vilkår ret til at få leve-
ret den i stk. 4 nævnte fortegnelse med henblik på videregivelse af fortegnelsen til
medlemsvirksomheder. Fortegnelsen må ikke herudover videregives til andre eller
offentliggøres. Overtrædelse heraf kan straffes med bøde efter cpr loven, jf. lovens §
57, stk. 1, nr. 4.
Ovennævnte fortegnelse – som i offentligheden ofte omtales som Robinson-listen – er
siden år 2000 blevet dannet en gang i kvartalet som led i driften af CPR-systemet,
som varetages af CSC Danmark A/S i henhold til en kontrakt med Økonomi- og Inden-
rigsministeriets CPR-kontor. Der er i dag ca. 900.000 personer på Robinson-listen.
Når Robinson-listen er dannet, lægges den af CPR-kontoret på
www.cpr.dk,
hvorfra
erhvervsdrivende og erhvervsdrivendes brancheorganisationer kan downloade listen
efter indtastning af et brugernavn og password, som udleveres fra CPR-kontoret.
Onsdag den 2. juli 2014 kl. 14.51 blev seneste Robinson-liste lagt på
www.cpr.dk.
PDF to HTML - Convert PDF files to HTML files
1387198_0002.png
CPR-kontoret blev efterfølgende kontaktet af en virksomhed, som oplyste, at listen
havde et nyt format og indeholdt – ud over navn og adresse - personnumre på perso-
nerne på listen. Listen blev umiddelbart herefter fjernet fra hjemmesiden kl. ca. 15.40.
CPR-kontoret konstaterede, at filen var blevet downloadet 18 gange fra 15 forskellige
IP-adresser i den pågældende periode.
CPR-kontoret rettede straks henvendelse til de virksomheder, som CPR-kontoret
umiddelbart på baggrund af deres egne henvendelser kunne konstatere havde down-
loadet listen og meddelte, at listen og eventuelle kopier heraf skulle destrueres.
De resterende virksomheder, som kunne identificeres ud fra deres IP-adresser, blev
herefter kontaktet af CPR-kontoret med besked om, at den downloadede fil og even-
tuelle kopier heraf skulle destrueres.
Da CPR-kontoret den 4. juli 2014 havde modtaget bekræftelse på, at alle downloade-
de filer og eventuelle kopier heraf var destrueret, udsendte CPR-kontoret samme dag
en pressemeddelelse herom.
CPR-kontoret har endvidere på
www.cpr.dk
den 3. juli 2014 lagt information ud til bor-
gerne om den passerede sikkerhedshændelse og har tillige underrettet Datatilsynet
om forløbet.
CPR-kontoret har i øvrigt foretaget søgninger på internettet, uden at den pågældende
fil kunne fremsøges.
I forlængelse af hændelsen har CSC Danmark A/S afgivet en redegørelse om det
passerede. Det fremgår bl.a. heraf, at Robinson-listen på grund af en manuel proce-
durefejl hos CSC blev fremsendt til CPR-kontoret, uden at denne var færdigbehandlet.
CPR-kontoret har i forlængelse af sikkerhedshændelsen truffet foranstaltninger med
henblik på at sikre, at en tilsvarende hændelse ikke på ny kan indtræffe. Det betyder,
at der nu er indført en procedure med dobbeltkontrol af Robinson-listen, før denne
lægges på
www.cpr.dk.
CPR-kontoret har endvidere iværksat en grundig undersøgel-
se af, om der er behov for yderligere ændringer i procedurer og kontroller knyttet til
den daglige filproduktion hos CSC.
Det skal i den forbindelse bemærkes, at CSC Danmark A/S allerede følger informati-
onssikkerhedsstanden ISO 27001, hvilket indebærer, at CSC Danmark A/S skal tilret-
telægge og opretholde tiltrækkelige generelle it-kontroller. Bl.a. skal der være doku-
menterede driftsprocedurer, procedurer for håndtering af information, uddannelse og
træning i informationssikkerhed, og medarbejderne skal regelmæssigt holdes ajour
med virksomhedens politik og procedurer i det omfang, det er relevant for deres job-
funktion.
CPR-kontoret kontrollerer løbende, at CSC Danmark A/S tilrettelægger og opholder
tilstrækkelige generelle it-kontroller. Det sker gennem en årlig uafhængig it-revision,
som gennemføres af statsautoriserede revisorer. CPR-kontoret har endvidere udført
en ekstraordinær revision i forbindelse med en større systemomlægning i marts 2014.
Seneste revisionserklæringer viser, at CSC Danmark A/S i hovedsagen har opretholdt
generelle it-kontroller, og at de undersøgte kontroller har været hensigtsmæssigt ud-
formet.
Afslutningsvis vil jeg gerne dybt beklage fejlen, som ikke burde være sket.
Med venlig hilsen
Margrethe Vestager
2