Et offentligt tilgængeligt CPR-nummer kan have store konsekvenser for indehaveren. Derfor skal kommunerne, ifølge Indenrigsministeriets vilkår, løbende føre kontrol med kommunalt ansattes opslag i CPR.
En rundspørge foretaget af TV2 Østjylland viser dog, at der er store forskelle på, hvorvidt kommunerne overholder deres forpligtelse.
Kontrollen skal gennemføres som minimum hver tredje måned.
Både Skanderborg Kommune, Randers Kommune og Norddjurs Kommune oplyser, at der kun foretages kontrol, hvis der opstår en begrundet mistanke om misbrug af opslag i CPR.
Borgmester i Skanderborg Kommune Frands Fischer (S) fortæller, at den manglende kontrol af kommunens ansattes luren i CPR er helt ny information for ham.
- Hvis man ikke fører stikprøvekontrol, skal der jo være en god forklaring på, hvorfor man ikke gør det, siger han tilTV2 Østjylland og fortsætter:
- Jeg kender ikke forklaringen, og derfor er det rigtig svært for mig at svare på det, men jeg vil som det første på mandag spørge min direktion, hvorfor vi ikke gør det her, og hvad er den gode forklaring?
De manglende stikprøver i kommunerne er ifølge ekstern lektor i forvaltningsret på Aarhus Universitet Klaus Josefsen bekymrende.
- CPR er et effektivt registreringssystem, som vi er meget glade for. Det betyder så til gengæld også, at man har nogle sikkerhedsregler, der skal overholdes for at bevare den tillid, der skal være til systemet, fortæller han.
- Borgerne har ikke noget, de umiddelbart kan gøre, da det (CPR-nummer, red.) er en pligtmæssig oplysning, som myndighederne har krav på at få. Det er netop derfor, at det er ledsaget af nogle ret strenge kontrolkrav, og at de regler, der bliver dikteret fra Indenrigsministeriet, skal overholdes til punkt og prikke.
Spørgsmålet om de personfølsomme oplysningers sikkerhed i kommunalt ansattes hænder kommer, efter det i september kom frem, at flere tusinde CPR-numre var blevet lækket i Aarhus Kommune, mens det var tilfældet for flere hundrede borgere i Horsens Kommune.
I Favrskov, Silkeborg, Aarhus, Odder og Samsø Kommune laver de stikprøver af medarbejdernes opslag i CPR. Men det varierer fra kommune til kommune, hvor ofte det sker. I Favrskov er det for eksempel kun hver halve år.
Ifølge Morten Kjærsgaard, der er sikkerhedsekspert og direktør for Heimdal Security, kan det have store konsekvenser, hvis ens CPR-nummer havner i de forkerte hænder.
- Du kan bruge en persons CPR-nummer til at oprette lån, til at søge om et nyt kreditkort, og - hvis du er rigtig dygtig inden for hackerfaget - kan du bruge det til at få yderligere information omkring personen, eksempelvis finansielle oplysninger og adgang til folks bank.
Morten Kjærsgaard mener, at coronapandemien kan have haft en stor betydning for, hvor højt onlinesikkerhed blev prioriteret. For da pandemien hærgede, skete der pludselig et skift hos kommunerne, mener han.
- Der har skullet allokeres flere penge til andre projekter, og det kan mærkes på IT-sikkerhedsbudgetterne, siger sikkerhedseksperten og fortsætter:
- I et marked, hvor IT-kriminaliteten er stigende, er det fuldstændig afkoblet fra hinanden, at IT-sikkerhedsbudgetterne er under pres.
Både Randers og Norddjurs kommuner meddeler fredag - efter TV2 Østjyllands rundspørge - at de nu vil indføre stikprøvekontrol efter reglerne.