Skatteetaten har ved en glipp sendt ut cd-er med fødselsnumrene til fire millioner av landets innbyggere til ti norske aviser. Hvis disse kommer i gale hender kan det medføre svindel i stor stil.
- Skandale, sier Datatilsynet.
- Dette er en personvernmessig skandale som mangler sidestykke i norsk historie, sier Venstres leder Lars Sponheim til Aftenposten.
Les også: Skatteetaten beklager tabbe
Lekker ingen hemmelighet
Men to av landets fremste eksperter på området er mer sjokkert over at noen tror dette fremdeles er hemmeligheter.
| Detter er fødselsnummeret: Et fødselsnummer består av 11 sifre fordelt på to hoveddeler, nemlig fødselsdato (seks sifre) og personnummer (fem sifre). De seks første sifrene angir normalt fødselsdato, dag måned og år. Personnummeret, de siste fem sifrene, er inndelt slik at de tre første er individsifre som bestemmes av periode du er født i og nummer i rekken. Det tredje sifferet er alltid partall for kvinner og oddetall for menn. De to siste sifrene er kontrollsifre, som sjekker om det er et gyldig personnummer. De er beregnet utifra de foregående tallene. Kilde: Wikipedia. |
- Det er et vel så stort problem at det regnes som en hemmelighet og benyttes i flere sammenhenger, sier Gisle Hannemyr, universitetslektor ved Universitetet i Oslo til Dagensit.no.
Kredittkortselskapene utgjør en slik sammenheng, påpeker Kjell Jørgen Hole, professor ved institutt for informatikk ved Universitetet i Bergen.
– Når du ringer dem spør de om fødselsnummeret, og så vet de hvem de snakker med – tror de, sier han til Dagensit.no.
Hole har tidligere kritisert det svært utbredte BankID-systemet for sin bruk av fødselsnumre i påloggingen. Dette kunne kriminelle utnytte til å sperre folks kontoer og lure dem til å oppgi påloggingsinformasjon, advarte Hole i mai 2007.
Les også: Kan stenge hele bank-Norge
Ubrukelige som legitimasjon
Det har vært flere runder med lekkasjer av fødselsnumre. Blant annet delte Tele2 ut 60.000 personnumre ifjor via sin nettside.
- Det er overveiende sannsynlig at fødselsnumrene har lekket for lenge siden. Det kan ikke betraktes som hemmelig informasjon, men brukes likevel til å autentisere folk.
Hannemyr påpeker at disse tallene egner seg godt til for eksempel intern bruk i banker, for å skille kundene fra hverandre, men ikke som system for å bevise hvem du er.
- Fødselsnumre er ubrukelige som legitimasjon, slår Hole fast.
Han påpeker at de aldri var ment å brukes til noe annet enn å skaffe et unikt ”navn” for hver person, så man kan skille mellom flere som heter det samme.
- Å oppgi nummeret er en påstand om hvem du er – Så må du bevise at det er sant – kanskje ved hjelp av BankID eller noe annet, sier Hole.
- Må ta lærdom
I tillegg til lekkasjene er det over 1500 aktører som abonnerer på tjenester i Brønnøysundregistrene og har mulighet til å sjekke om personnumre stemmer, samt at selskaper som banker og mobilselskaper har full tilgang. Det påpeker Hole.
Så hvor alvorlig er lekkasjen til Skattedirektoratet egentlig?
- Datatilsynet har bestemt at dette skal være hemmelig og det må Skatteetaten bare følge. Det er alvorlig at man har så slepphendte rutiner i Skattedirektoratet at man ikke følger opp dette, sier Hannemyr.
Hole mener det er rart at dette slås opp stort – ettersom det er bruken som er problemet. Hannemyr er enig.
- Man bør ta lærdom av dette og ikke bruke det som en hemmelighet, sier Hannemyr.
