Danmarks digitale skatkammer står på vid gab

”Jeg har givet op. Det er helt op ad bakke at få danske myndigheder i tale om beskyttelse af CPR-numre. Det må du gerne citere mig for.”

Sådan lød svaret, da djøfbladet bad Forbrugerrådets seniorjurist og næstformand i Rådet for Digital Sikkerhed, Anette Høyrup, om en kommentar efter skandalen om Statens Seruminstituts læk af fem mio. ukrypterede CPR-numre og helbredsoplysninger om diabetes- og cancerpatienter til Chinese Visa Application Service Center.

Hendes bemærkning blev star­tskuddet til, hvad der skulle vise sig at blive en research-odyssé mellem ministerier, IT-eksperter og politikere.

Spørgsmålet var enkelt: Hvad bliver der gjort ved det, og hvem gør noget?

Svarene var derimod langt mindre klare.

”En tikkende bombe”

I mange år har der været kraftige og åbenlyse signaler om, at systemerne ikke beskytter borgerne godt nok. Danskernes unikke ID-nummer bruges i dag til alt fra indmeldelser i fitnesscentre, bogudlån på biblioteket, skatte- og boligforhold og ikke mindst en nøje registrering af danskernes helbred, sygdomme, medicinforbrug og behandling. Oplysningerne ligger i mange, sammenkædede databaser.

Men selvom skandalerne om læk af CPR-numre er fortsat – også længe efter lækagen fra Statens Seruminstitut i starten af 2015 – er det svært at få et svar på, hvad danske politikere konkret foretager sig for at sætte en prop i adgangen til den overvældende mængde personfølsomme oplysninger, som CPR-systemet er nøglen til.

“En tikkende bombe” kalder formanden for IT-Politisk Forening, Jesper Lund, situationen. Han henviser bl.a. til, at der på det globale datamarked er større og større spillere, der ser en fordel i at trænge ind i følsomme databaser.

 ”Vi har ikke haft de virkelig alvorlige sager endnu, hvor fx fremmede stater har downloadet sundhedsdatabaser. CSC-skandalen i 2012 (hvor data fra CPR-registeret, Schengen-registeret og fire mio. danskeres kørekortnumre blev stjålet og kopieret, red.) var i virkeligheden i den nemme ende. Her kunne man relativt let finde frem til de to hackere i en lejlighed i Cambodia. Sværere er det, når der er tale om statslig, politisk hacking med det formål at skabe usikkerhed og vise, at ’vi har noget på jer’,” siger han og peger på, at denne trussel kan vise sig større end det interne misbrug, som når sundhedspersonale skaffer sig adgang til personfølsomme data om eksempelvis tidligere kæresters sygdom og behandling.

Systemet, hvor ansattes adfærd på nettet afsløres gennem logfiler, er ikke tilstrækkelig sikkert. Det er samtidig en belastning for medarbejdere i den offentlige sektor, siger formanden for IT-Politisk Forening.

”Det giver en ubehagelig overvågning og kontrol af de ansatte,” mener han.

"Systemet er velfungerende"

Der er fokus på emnet i Folketinget. På papiret, i hvert fald.

For snart to år siden afgav Folketingets Retsudvalg i enighed en beretning om datasikkerhed og kom med en stribe anbefalinger.

En af dem var, at CPR-nummeret bør gennemgå en grundlæggende revidering, og at det ’eventuelt [bør] afvikles som gennemgående id i offentlige registre’.

Siden har Retsudvalget to gange stillet spørgsmål til justitsministeren om, hvilke initiativer ministeren har taget, når det gælder både den generelle datasikkerhed og CPR-problemet.

Når det gælder CPR, har Justitsministeriet indhentet svar fra Social- og Indenrigsministeriet, hvor Det Centrale Personregister hører hjemme. Social- og indenrigsminister Karen Ellemann (V) skriver, at der ’ikke er behov for, at det nuværende personnummersystem afvikles eller revideres. Personnummeret er en ti-cifret kode, som tjener til entydigt at identificere en person, f.eks. i et it-system. Det er personnummeret ganske effektivt til.’

I en mail til djøfbladet fastholder ministeren denne holdning og skriver, at det generelt er ”min opfattelse, at CPR-systemet og personnummeret, som vi kender det, er velfungerende og til stor gavn for landets borgere, myndigheder og virksomheder.”

Karen Ellemann fremhæver, at NemID er udviklet, for at borgere og virksomheder kan føle sig trygge på nettet og henviser i øvrigt til Sundhedsministeriet i sager, der vedrører sundhedsmyndigheders lemfældige omgang med CPR-numre, herunder sagen fra Seruminstituttet.

Netop denne sag har fået Folketingets Sundheds- og Ældreudvalg til at kalde sundhedsminister Sophie Løhde (V) i samråd. Udvalget har bedt ministeren redegøre for sagen om lækket af helbredsoplysninger til Chinese Visa Application Service Center og for, hvilke initiativer ministeren vil tage for at undgå, at en lignende sag gentager sig.

Endelig vil udvalget gerne vide, hvordan ministeren vil håndtere opfølgning i forhold til de borgere, hvis personlige data er lækket, og om ministeren vil nedsætte en kommission til at gennemgå sundhedsområdets datasikkerhed.

Siden har endnu to CPR-lækager fået sundhedsministeren til at søge hjælp hos eksterne IT-konsulenter. De skal undersøge, om Sundhedsministeriet og ministeriets styrelser passer godt nok på sundhedsdata. Ifølge ministeriet skal denne opgave dog først i udbud. Heller ikke her er løsningen lige om hjørnet.

Der sker ikke så meget

Så vidt sundhedsdata. Ud over samrådet er status på de generelle politiske initiativer omkring CPR-nummeret, at Enhedslisten i april 2016 stillede et beslutningsforslag.

Beslutningsforslaget pålægger regeringen inden den 1. januar 2017 at tage de nødvendige initiativer til at følge anbefalingerne fra retsudvalgets beretning, herunder at brugen af CPR-nummeret bør gennemgå en grundlæggende revidering.

”Som det ligger nu, sker der ikke så meget på området,” erkender IT-ordfører Eva Flyvholm (EL).

”Der er ikke sat dato på konkrete initiativer,” fortæller hun og bebuder, at Enhedslisten har rykket Justitsministeriet for svar og planlægger at genfremsætte sit beslutningsforslag.

”Én ting er selve misbruget. En anden er, at borgerne skal være trygge ved, at systemet er sikkert. Det er der mange, der ikke er i dag,” siger hun.

Mistilliden breder sig

Netop mistilliden kan vise sig at være den mest ødelæggende faktor for det, som professor Kim Normann Andersen fra Department of IT Management på CBS kalder en af grundpillerne i den danske velfærdsstat – og dermed for mange djøferes arbejdsvilkår.

 ”Da CPR-systemet blev skabt, var udtræk af data fra registreret forbeholdt en beskeden mængde personer. Så længe borgerne kan acceptere en handel, hvor de afgiver noget privacy til gengæld for nogle universelle ydelser fra velfærdssamfundet, tænker de fleste nok ’ok, så’. Men tilliden kan forsvinde, hvis CPR-data kommer i hænderne på andre end dem, der har et legitimt behov for at få adgang til dem. Hvis denne fundamentale del af velfærdssystemet ikke fungerer, hvordan kan man have tillid til resten? Man bør i min optik ikke forsøge at lukke øjnene for de data-kriser, der har været. Troen på hele systemet bliver dobbelt udfordret af, at der er fejl, og at det ikke er krystalklart, at myndighederne lærer af deres fejl,” siger Kim Normann Andersen.

Bag lås og slå

De tekniske muligheder for at skærme personfølsomme oplysninger koblet til CPR-nummeret er bl.a.:

Anonymisering, hvor man fjerner navn, adresse og andre identitetsbærende oplysninger og erstatter dem med en kode.

Pseudonymisering, hvor selve personnummeret erstattes af en kode. Koden kan derefter findes igen på en separat liste, hvor man kan se koblingen mellem personnummeret og koden.

Kryptering, hvor oplysningerne bliver ulæselige og kun kan gøres læselige, hvis man har den rigtige krypteringsnøgle.

Privacy by design-princippet, hvor sikkerhed og anonymitet bygges ind i kernen af nye IT-systemer fra starten.