Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 13. november 2001.
Cpr-nummer sendes ukrypteret over nettet fra Nykredits hjemmeside.
Brugere af Nykredits beregningsprogrammer på internet sender cpr-nummeret afsted uden beskyttelse.
Det sker, på trods af at Datatilsynet entydigt opfordrer både offentlige og private virksomheder til at sikre, at cpr-numre, der sendes over nettet, er krypterede.
- I sin yderste konsekvens kan det være i strid med kravet om, at man skal beskytte oplysninger med de tilstrækkelige sikkerhedsforanstaltninger. Vi har ikke så mange konkrete sager, der viser, at det er klokkeklart ulovligt, men det kunne det godt gå hen og vise sig i sin yderste konsekvens, siger fungerende direktør i Datatilsynet Lena Andersen.
Kryptering ændres
Hun finder det dog positivt, at Nykredit gør opmærksom på, at cpr-nummeret sendes ukodet, men understreger, at det ikke følger Datatilsynets anbefalinger.
I Nykredit oplyser kommunikationschef Henrik Hougaard, at cpr-nummeret ikke er en del af en transaktion og derfor ikke indeholder kompromitterende oplysninger.
- Der er ikke tale om, at vi overfører oplysninger om kunders konti. Cpr-nummeret bruges alene til at slå op i vores databaser, så man kan få udført en beregning, og det er kun resultatet af denne beregning, der sendes tilbage, siger han.
Henrik Hougaard afviser, at Nykredit sløser med sikkerheden.
- Cpr-nummeret knyttes ikke til navn eller andre oplysninger, som man eventuelt kunne udnytte, siger han.
Henrik Hougaard oplyser dog, at Nykredit om et par uger vil have ændret hjemmesiden, så den anvender SSL-kryptering.