Kommuner holder ikke øje med CPR-snageri
Flere kommuner holder ikke systematisk øje med, om deres ansatte misbruger borgernes personfølsomme oplysninger.
Et offentligt tilgængeligt CPR-nummer kan have store konsekvenser for indehaveren. Derfor skal kommunerne, ifølge Indenrigsministeriets vilkår, løbende føre kontrol med kommunalt ansattes opslag i CPR.
En rundspørge foretaget af TV2 ØSTJYLLAND viser dog, at der er store forskelle på, hvorvidt kommunernes pligt herindenfor bliver efterfulgt.
Kontrollen skal gennemføres som minimum hver tredje måned.
Både Skanderborg Kommune, Randers Kommune og Norddjurs Kommune oplyser dog, at der kun foretages kontrol, hvis der opstår en begrundet mistanke om misbrug af opslag i CPR.
Frands Fischer, der er borgmester i Skanderborg Kommune, udtaler fredag, at den manglende kontrol af kommunens ansattes luren i CPR er helt ny information for ham.
I et marked, hvor IT-kriminaliteten er stigende, er det fuldstændig afkoblet fra hinanden, at IT-sikkerhedsbudgetterne er under pres.
I Skanderborg Kommune følger I ikke den løbende stikprøvekontrol, som indenrigsmyndighederne har fastlagt. Hvorfor gør I ikke det?
- Hvis man ikke fører stikprøvekontrol, skal der jo være en god forklaring på, hvorfor man ikke gør det, udtaler han til TV2 ØSTJYLLAND og fortsætter:
- Jeg kender ikke forklaringen, og derfor er det rigtig svært for mig at svare på det, men jeg vil som det første på mandag spørge min direktion, hvorfor vi ikke gør det her, og hvad er den gode forklaring?, siger han.
De manglende stikprøver i kommunerne er ifølge Klaus Josefsen, der er ekstern lektor i forvaltningsret på Aarhus Universitet, bekymrende.
- CPR er et effektivt registreringssystem, som vi er meget glade for. Det betyder så til gengæld også, at man har nogle sikkerhedsregler, der skal overholdes for at bevare den tillid, der skal være til systemet, fortæller han til TV2 ØSTJYLLAND og fortsætter:
- Borgerne har ikke noget, de umiddelbart kan gøre, da det (CPR-nummer, red.) er en pligtmæssig oplysning, som myndighederne har krav på at få. Det er netop derfor, at det er ledsaget af nogle ret strenge kontrolkrav, og at de regler, der bliver dikteret fra Indenrigsministeriet, skal overholdes til punkt og prikke.
Kan trylle med CPR-nummer
Spørgsmålet om de personfølsomme oplysningers sikkerhed i kommunalt ansattes hænder kommer, efter det tidligere på året kom frem, at flere tusinde CPR-numre var blevet lækket i Aarhus Kommune, mens det var tilfældet for flere hundrede borgere i Horsens Kommune.I Favrskov, Silkeborg, Aarhus, Odder og Samsø Kommune laver de stikprøver af medarbejdernes opslag i CPR. Men det varierer fra kommune til kommune, hvor ofte det sker. I Favrskov er det for eksempel kun hver halve år.
Ifølge Morten Kjærsgaard, der er sikkerhedsekspert og direktør for Heimdal Security, kan det have store konsekvenser, hvis ens CPR-nummer havner i de forkerte hænder.
- Du kan bruge en persons CPR-nummer til at oprette lån, til at søge om et nyt kreditkort, og - hvis du er rigtig dygtig inden for hackerfaget - kan du bruge det til at få yderligere information omkring personen, eksempelvis finansielle oplysninger og adgang til folks bank.
Corona stjal fokus fra IT-sikkerhed
Morten Kjærsgaard mener, at coronapandemien kan have haft en stor betydning for, hvor højt onlinesikkerhed blev prioriteret. For da pandemien hærgede, skete der pludselig et skift hos kommunerne, mener han.
- Der har skullet allokeres flere penge til andre projekter, og det kan mærkes på IT-sikkerhedsbudgetterne, siger sikkerhedseksperten og fortsætter:
- I et marked, hvor IT-kriminaliteten er stigende, er det fuldstændig afkoblet fra hinanden, at IT-sikkerhedsbudgetterne er under pres.
Både Randers og Norddjurs Kommune meddeler fredag - efter TV2 ØSTJYLLANDS rundspørge - at de nu vil indføre stikprøvekontrol efter reglerne.
