Myndigheder sjusker med personnumre

Målrettet søgning i Google finder masser af fortrolige oplysninger på myndigheders website.

Menneskelige fejl, manglende tekniske færdigheder eller almindeligt sjuskeri.
Der kan være mange forskellige årsager til, at offentlige myndigheder og private virksomheder bryder loven og ulovligt offentliggør borgernes fortrolige oplysninger.

19-08-2013 11-30-27
Vi har valgt at anonymisere oplysningerne, som Naturstyrelsen havde offentliggjort. Allerede ved søgning i Google var de helt tydelige.

At det sker i stor stil, viser en række stikprøver, som Kaas & Mulvad netop har foretaget. Ved en simpel, men meget præcis Google-søgning fandt vi på kort tid cpr-numre på websider, der tilhører kommuner, Folketinget, en statslig styrelse samt private virksomheder og foreninger. Alt sammen overtrædelser af Persondataloven.

Meget kritisk
På Naturstyrelsens hjemmeside lå der fx både sagsakter med cpr-nummer og en kandidatafhandling, der indeholdt forfatternes cpr-numre. Webchef i Naturstyrelsen Pelle Vedel Krogh har efter henvendelsen straks taget affære:
– Vi vil stramme kraftigt op. Indtil nu har vi ikke set det som et problem. Vi har haft reglerne skrevet ind i vores kursusmateriale og i retningslinjerne til vores webredaktører. Men det har ikke været godt nok. Hvad vi vil gøre fremadrettet, er for tidligt at sige, men vi anser det her for meget kritisk, siger han.

Ved at følge fremgangsmåden nedenfor kan enhver foretage samme type søgning og hurtigt tjekke, om der skulle være cpr-numre, der er sluppet gennem nåleøjet, og som Google har fundet.
I Google kan man søge efter et tal, man ikke kender. Er tallet fx mellem 1 og 10, er tricket at skrive 1…10 i søgefeltet.

Et konkret eksempel:
dervar
Leder man efter efter et personnummer, der jo er opbygget af to tal med (som regel) en bindestreg imellem, kan man skrive “010100…311299-0001…9999”
Anførselstegnene sørger for, at det hele bliver søgt som én sammenhængende streng.
Google er ikke perfekt, og vi får også en hel del andre tal fundet frem. Men ved at sætte andre søgeord ind i søgefeltet, kan man hurtigt præcisere sin søgning.
Hvis man fx tilføjer cpr OR personnummer OR “cpr-nummer” ved siden af tallene, giver man besked om, at der ikke bare skal være et tal, der ligner et cpr-nummer. Der skal også i dokumentet stå mindst et af søgeordene.

Det kan fx se sådan ud:

cprsoegning
Går man et skridt videre og tilføjer site:dk, beder man Google om kun at give os resultater fra danske sites. Vi kan også nøjes med at søge på ét bestemt website. Skriver vi fx site:ft.dk, søger vi kun på Folketingets website.

Den samlede søgning vil give en lang stribe resultater, der kan afgrænses ved at tilføje forskellige søgeord i søgefeltet. Lægger man fx ord ind som ansøgning, cv, “curriculum vitae” etc, viser det sig, at mange lægger dokumenter på nettet uden at fjerne deres personnummer. Der er også adskillige læreanstalter, der lader studerende, kandidater mv. offentliggøre deres projekter, rapporter mv uden at sikre sig, at de pågældende har fjernet cpr-oplysningerne.

Bedre uddannelse nødvendig
Kaas & Mulvad har efter researchen til dette indlæg været i kontakt med flere af de personer og institutioner, der har lagt oplysninger på nettet, og vi har talt med Datatilsynet, der har bedt os om ikke at være for specifik i henvisningerne. Direktør i Datatilsynet, Janni Christoffersen understreger, at det ofte er menneskelige fejl, der ligger bag, når fortrolige oplysninger offentliggøres på nettet:
– Det er utroligt vigtigt, at de, der lægger ting på nettet, bliver uddannet til det – at de ved, hvad de har med at gøre, siger hun. Janni Christoffersen fortæller, at Datatilsynet efter henvendelsen fra Kaas & Mulvad straks satte fire sagsbehandlere i gang med at kontakte diverse myndigheder og privatpersoner, der har lagt cpr-oplysninger på nettet.
– Vi tager de konkrete sager meget alvorligt og forsøger straks at få oplysningerne væk fra nettet, siger hun.

Folketinget ligger ikke under for Datatilsynet, men efter at vi talte med Folketinget i denne uge, er flere udvalgsbilag med personnumre nu taget af nettet. Ligeledes har Københavns kommune sagt tak for henvendelsen. Også her kunne gamle sagsdokumenter med personnumre nemlig findes frem via søgemaskiner. Vi har kun foretaget stikprøver, men vi har desuden fundet dokumenter med fortrolige cpr-oplysninger på websider, der tilhører Syddjurs kommune og Randers kommune. Også firmaer, bl.a. et advokatfirma, har offentliggjort dokumenter, der indeholder et personnummer.

Bruger man ovennævnte opskrift til at lede efter cpr-numre, finder man selvfølgelig også mange “falske” cpr-numre, hvor myndigheder og andre fornuftigt har ændret numre, når de fx laver undervisningsmateriale, instruktioner og lignende. Myndighederne har decideret skabt testpersonen Nancy Ann Berggren til det formål. Hendes cpr-nummer findes mange steder på nettet, og hun er sågar kommet på Facebook.

Vil man hurtigt tjekke, om ens eget cpr-nummer kan findes på nettet, er den letteste metode blot at skrive det i Googles søgefelt med et par anførselstegn rundt om.

No comments yet.

Skriv et svar

This site uses Akismet to reduce spam. Learn how your comment data is processed.