Skatteetaten har ved en glipp sendt ut cd-er med fødselsnumrene til fire millioner av landets innbyggere til ti norske aviser. Hvis disse kommer i gale hender kan det medføre svindel i stor stil.
- Skandale, sier Datatilsynet.
- Dette er en personvernmessig skandale som mangler sidestykke i norsk historie, sier Venstres leder Lars Sponheim til Aftenposten.
Les også: Skatteetaten beklager tabbe
Lekker ingen hemmelighet
Men to av landets fremste eksperter på området er mer sjokkert over at noen tror dette fremdeles er hemmeligheter.
| Detter er fødselsnummeret: Et fødselsnummer består av 11 sifre fordelt på to hoveddeler, nemlig fødselsdato (seks sifre) og personnummer (fem sifre). De seks første sifrene angir normalt fødselsdato, dag måned og år. Personnummeret, de siste fem sifrene, er inndelt slik at de tre første er individsifre som bestemmes av periode du er født i og nummer i rekken. Det tredje sifferet er alltid partall for kvinner og oddetall for menn. De to siste sifrene er kontrollsifre, som sjekker om det er et gyldig personnummer. De er beregnet utifra de foregående tallene. Kilde: Wikipedia. |
- Det er et vel så stort problem at det regnes som en hemmelighet og benyttes i flere sammenhenger, sier Gisle Hannemyr, universitetslektor ved Universitetet i Oslo til Dagensit.no.
Kredittkortselskapene utgjør en slik sammenheng, påpeker Kjell Jørgen Hole, professor ved institutt for informatikk ved Universitetet i Bergen.
– Når du ringer dem spør de om fødselsnummeret, og så vet de hvem de snakker med – tror de, sier han til Dagensit.no.
Hole har tidligere kritisert det svært utbredte BankID-systemet for sin bruk av fødselsnumre i påloggingen. Dette kunne kriminelle utnytte til å sperre folks kontoer og lure dem til å oppgi påloggingsinformasjon, advarte Hole i mai 2007.
Les også: Kan stenge hele bank-Norge
Ubrukelige som legitimasjon
Det har vært flere runder med lekkasjer av fødselsnumre. Blant annet delte Tele2 ut 60.000 personnumre ifjor via sin nettside.
- Det er overveiende sannsynlig at fødselsnumrene har lekket for lenge siden. Det kan ikke betraktes som hemmelig informasjon, men brukes likevel til å autentisere folk.
Hannemyr påpeker at disse tallene egner seg godt til for eksempel intern bruk i banker, for å skille kundene fra hverandre, men ikke som system for å bevise hvem du er.
- Fødselsnumre er ubrukelige som legitimasjon, slår Hole fast.
Han påpeker at de aldri var ment å brukes til noe annet enn å skaffe et unikt ”navn” for hver person, så man kan skille mellom flere som heter det samme.
- Å oppgi nummeret er en påstand om hvem du er – Så må du bevise at det er sant – kanskje ved hjelp av BankID eller noe annet, sier Hole.
- Må ta lærdom
I tillegg til lekkasjene er det over 1500 aktører som abonnerer på tjenester i Brønnøysundregistrene og har mulighet til å sjekke om personnumre stemmer, samt at selskaper som banker og mobilselskaper har full tilgang. Det påpeker Hole.
Så hvor alvorlig er lekkasjen til Skattedirektoratet egentlig?
- Datatilsynet har bestemt at dette skal være hemmelig og det må Skatteetaten bare følge. Det er alvorlig at man har så slepphendte rutiner i Skattedirektoratet at man ikke følger opp dette, sier Hannemyr.
Hole mener det er rart at dette slås opp stort – ettersom det er bruken som er problemet. Hannemyr er enig.
- Man bør ta lærdom av dette og ikke bruke det som en hemmelighet, sier Hannemyr.
- Ubrukelige personnumre
Skandalen i Skattedirektoratet: - Det spesielle er at noen fremdeles
tror de er hemmelige, sier eksperter.
Link til hele artikkelen
Endelig...
Flott at noen endelig påpeker dette! Datatilsynet burde snu, fødselsnumrene burde ikke anses som sensitive opplysninger, og det burde bli ansett som grovt uaktsomt å bruke fødselsnummer som legitimasjon.
Jeg har problemer med å forstå hvorfor Hole mener det er et problem at fødselsnummeret brukes som bruker-id i BankID-ordningen - det er jo ikke bruker-id som skal være hemmelig, men passord/sikkerhetskode. Det som er viktig er jo at det ikke må være fare for at innloggingen kan sperres av noen som kjenner til bruker-id, uansett hva den måtte være.
Den eneste faren jeg ser med å la fødselsnumre bli en ikke-sensitiv opplysning er muligheten for å koble registre med personopplysninger på en veldig enkel måte. Jeg mener likevel dette hensynet ikke er tungtveiende nok til å opprettholde dagens ordning.
(Et lite PS - en unik navnekombinasjon [fornavn + etternavn] er like utvetydig identifiserende som fødselsnummeret, dvs. at mange av oss kan identifiseres fullt ut bare ved hjelp av navnet, mens "Jan Johansen" kan være mange forskjellige. Selv er jeg en av to... :-)
For 7 år siden lå alles personnummer på nettet
For 7 år siden lå dette på nettet åpent for alle. Bidragsyter: Staten selv! Hemmelig! Jammen sa jeg smør..
I 2002 og tidligere inneholdt skatteopplysninegen for alle i Norge fullt 11-sifret personnummer. Var sjokkert over det da, og undrer meg ennå over at dette ikke har blitt diskutert mer i ettertid..
Si din mening!
DN.no oppfordrer til å bruke fullt navn i debattene
- Tittel må fylles ut
- Ditt navn må fylles ut
- Kommentarfeltet må fylles ut
Lesernes kommentarer