Sikkerhed og CPR-numre

Medierne har i gennem de seneste måneder bragt lys over en række virksomheder og myndigheders "offentliggørelser" af fortrolige oplysninger om personer eller personhenførbare oplysninger, som det hedder i "Lov om behandling af personoplysninger" (nogle kalder den også bare "persondataloven").

Datatilsynet har gentagne gange udtalt sig om flere universiteters hjemmesider, der ved en fejl har indeholdt navne og CPR-numre på studerende, og det er med god grund, for – som tidligere nævnt – så er det praktisk talt muligt at overtage en persons liv, så snart man er i besiddelse af personens CPR-nummer. Hvis man da ellers har de lyster.

Et eksempel, du taber penge på

Forestil dig følgende. En person med ond hensigt har udpeget netop dig. Denne person vil gerne have en ny mobiltelefon, en stor og meget god middag på en fin restaurant samt nogle kontanter. Det, som personen kan gøre, er at foretage en midlertidig adresseændring fra din adresse til en anonym postboks. Du vil nok ikke undre dig meget over, at du ikke modtager post i f.eks. 7-14 dage, og i mellemtiden har personen måske være heldig og har modtaget din post fra din bank, fra en offentlig myndighed, forsikringsselskab eller andre, hvori dit CPR-nummer er anført.

Hermed har personen med meget stor sandsynlighed nu dit CPR-nummer. Hernæst er det for vedkommende blot et snuptag at henvende sig til et af de kreditselskaber, der yder lån uden sikkerhed. Personen oplyser dit navn og dit CPR-nummer, og så har vedkommende en god portion kontanter. Altså kontanter med en afdragsordning, som man nok må formodes, at vedkommende ikke har i sinde at betale tilbage på – den må du klare når fogeden – i sidste ende – kommer forbi dit hjem.

Vores person kan naturligvis også bestille et kreditkort og fornøje sig med at købe sig (eller rettere; dig!) fattig på en tur gennem byen. Alt er muligt, for så længe vores person modtager din post, bliver du ikke advaret om, at der er noget galt. For at du ikke kommer til at undre dig over manglende post i din postkasse, så kan vores person tage noget af den "rigtige" post med under armen en dag og putte det i din postkasse – for personen ved jo, hvor du bor.

Men hvad gør jeg så?

Selvfølgelig er ovenstående eksempel lidt ekstremt og forhåbentlig sjældent, men det sker desværre tiere, end man skulle tro, og det sker, fordi enten vi selv eller andre er lidt for lemfældige med vores CPR-nummer.

Kommer du ud for denne type kriminalitet, vil forsikringsselskaberne typisk dække dine tab afhængig af forholdene, men mange gange skal der både politirapporter og lange opslidende drøftelser med kreditorerne omkring frafald af, hvad de har til gode.

Nøgleordet er altså her fortrolighed omkring dit CPR-nummer. Her er nogle gode råd mod "identitetstyveri" ved brug af dit CPR-nummer: 

• Oplys ikke dit CPR-nummer, med mindre der er en god grund til det.
• Betragt dit CPR-nummer som din PIN-kode til dit Dankort – denne fortæller du jo ikke til alle, der beder om den.
• Krypter CPR-numre (mails, Office-dokumenter osv.) på din computer.

Som virksomhed, har man en særlig forpligtelse. Faktisk er der en lov om det. Den tidligere omtalte persondatalov. Heri står anført, at alle personhenførbare data skal opbevares med et fornuftigt formål til øje i den periode, det er tjenligt for formålet, samt med accept af den person, hvis oplysninger der er registreret.

Det er nok meget naturligt, at man som virksomhed opbevarer et register over virksomhedens medarbejdere, altså navn og adresse men også CPR-nummer ifm. lønudbetaling mv. Nogle virksomheder finder det også relevant at registrere fagforeningsforhold, men den går ikke. Det er typisk ikke relevant for arbejdsgiver at ligge inde med disse oplysninger.

Faktisk er det sådan, at man som virksomhed overfor Datatilsynet har pligt til at "anmelde" sig som registrant af data om personhenførbare data. Visse brancher er dog undtaget, f.eks. revisorer, for i vores arbejde er det implicit, at vi registrerer og opbevarer følsomt data men for de fleste andre brancher, er alene en medarbejderdatabase mange gange nok til, at der er anmeldelsespligt. Og hvorfor? Fordi virksomheden dermed også er bekendt med, hvilke kontroller og modforanstaltninger der skal sættes op for at hindre andre i at hente følsomt data, idet virksomheden har erklæret sig indforstået omkring vilkår og lovhjemmel. Og selvfølgelig også fordi, der er en lov, der har bestemt det.

Og så er vi tilbage til det tidligere eksempel. Hvis man som virksomhed er lemfældig med følsomt data, altså f.eks. CPR-numre, er det muligt, at andre personer benytter sig heraf og udnytter det for egen vindings skyld. Det er altid en god ide at identificere hvem i en virksomhed, der må have adgang til hvilke data. Flere virksomheder er af den opfattelse, at alle medarbejdere er nøglepersoner og derfor skal have adgang til alt – også for nemhedens skyld men tænk på, at hvis vi som revisorer for en lang række selskaber og personer for nemhedens skyld gav adgang til netop din selvangivelse og forskudsregistrering til alle vores medarbejdere. Eller hvis SKAT gav samtlige af deres medarbejdere samme adgang.

Funktionsadskillelse er et begreb, vi arbejder meget med, og det kan typisk – uden de store problemer – indarbejdes i IT-systemer og andre "manuelle" procedurer. Dermed nedbringes risikoen for fejl og for offentliggørelse af fortrolige oplysninger – og så overholder vi også loven.

Denne artikel er skrevet af Martin Brogaard Nielsen, der er ledende it-revisor, CISA, samt adm. direktør i Revi-IT A/S. Revi-IT er en statsautoriseret revisionsvirksomhed, der udelukkende arbejder med it-revision og it-ledelsesrådgivning, herunder gennemgang af generelle it-kontroller, erklæringsafgivelse ifm. revisionsstandard RS 315, 330, 3000 og 3411, rådgivning ifm. risikoanalyser, beredskabsplanlægning, it-sikkerhedspolitikker m.m.