I går kveld kom et sjokk for noen, men ikke alle. 4 millioner norske personnummer har blitt videresendt til ulike redaksjoner. For å sitere informasjonsdirektøren: «Det var en glipp».
Vel, om det var en glipp eller ikke så var det ikke første gang det har kommet personnummer på avveie. I Storbritannia ble det store oppstyr når personnummer kom på avveie der på liknende måte som i norge. Tele2 og Talkmore har også bidratt med sitt til at personnummer kom på avveie. Talkmore ble bøtelagt med kr. 100. 000, mens Tele 2 gikk fri til tross at de hadde blitt advart lang tid i forveien uten å reagere.
Det første jeg spurte meg selv om, hva gjorde alle de personnummerene på den cden? Hvorfor har man ikke et system databasene sine som siler ut slik vital informasjon allerede når man skal hente det ut til redaksjonene? Det å brenne plater med personnummer er som kjent ikke veldg heldig, da cder fort kommer på avveie uansett hvilken sikkerhetstiltak man anvender seg av.
Personnummer i seg selv er ikke vanskelig å lage, det finnes til og med excel- ark som valderer og hjelper en til å lage gyldige personnummer. Dette systemet ble innført i 1964 for å holde kontroll på innbyggerne slik at man kunne lettere skille dem. Systemet ble altså innført for å identifisere, men var aldri ment for å autentisere eller å bli brukt i den grad det blir brukt dag. For å si det ærlig så tror jeg neppe at man hadde forestilt seg den utstrakte bruken man har idag. Man må bruke fødselsnummer for å logge seg på nettbank, på skoleportaler ala studentweb til UiO, på bankkort står nummeret, BankID osv.
Hvorfor er dette så et problem? Problemet er at dette er et system som lett kan misbrukes av de som vil, og politikerne tror jeg ikke har innsett verdien av å å beskytte dette nummeret. Det har vært flere tilfeller der man måtte ha beskyttet seg ved å sperre fødselsnummeret sitt hos kredttopplysningsforetak.
Jeg håper denne hendelsen, som tydeligvis har overrasket politikerne, faktisk får dem til å beskytte dette nummeret litt mer. Hvorfor skal det kunne brukes når jeg logger på nettbanken? Kan jeg heller ikke få et kundenummer eller bruke kontonummer? Personnummer på bankkort er også uttrygt, samme med førerkort. På førerkort har man også et strekkodesystem og førerkortnummer, så det burde ikke vært så vanskelig å endre dette. Men godsakene gjenstår. Personnummeret ditt er ikke annsett alene å være sensitivt matriale, dog skal det understrekes at det skal etter personopplysningsloven § 12 og dens forskrifter innehas konsesjon for å kunne lagre disse opplysningene. Men etter samme paragraf så er ikke personnummer i seg selv sensitiv informasjon. Etter forvaltningslovens § 13 (2) så ramses det opp positivt at personnummer ikke er taushetsbelagt. Dette er etter min mening like ille som at 4 millioner personnummer har vært en tur på avveie. En saksbehandler kan oppgi både personnummer og adresse uten at dette rammes av taushetsplikt.
Mitt råd er garantert at neste gang noen spørr etter ditt personnummer, så tenk over minst to ting:
1. Har vedkommende lovhjemmel til personnummeret ditt?
2. Har bedriften saklig behov for personnummeret?
Hvis nei på et eller flere av disse spørsmålene og man kan oppnå tilfredsstillende identifikasjon på en annen måte (f.eks. ved bruk av navn og fødselsdato), så tenk deg tre ganger før du overleverer personnummeret ditt.