Det ble kjent i går kveld at en CD som Skatteetaten har sendt til flere norske avisredaksjoner, inneholdt alle norske skattebetaleres fødselsnummer i tillegg til deres navn, inntekt og formue.
I noen medier ble dette framstilt som en skandale av britiske proporsjoner: De viste til tilfellet i fjor der en ukryptert CD med detaljer om 25 millioner husholdninger som mottok barnebidrag, forsvant etter å ha blitt postlagt som vanlig sending.
Det er en vesentlig forskjell mellom det norske og det britiske tilfellet: Den norske CD-en var kryptert. For å låse opp CD-en måtte redaksjonene logge seg på hos Skatteetaten med brukernavn og passord, og bli tildelt en 30-sifret kryptonøkkel. Denne tjenesten kom aldri på lufta.
Med andre ord: Hvis norske avisredaksjoner følger vanlig folkeskikk og straks destruerer CD-ene, er fødselsnumrene fortsatt like trygge – eller utrygge – som de alltid har vært.
At vi kan trekke et lettelsens sukk i dette tilfellet, betyr ikke at vi skal slå oss til ro med hvordan nordmenns identitet vernes i det digitale rom i dag.
Altfor mange datasystemer bruker fødselsnummer som unik identifikator. Solabladet avslørte i forrige uke at Rogaland Kollektivtrafikk forlangte å få utlevert elevers fødselsnummer i forbindelse med en skoleskyssordning. Unnskyldningen til myndighetene som forsvarte utleveringen, er klassisk: «Det er slik systemet er.»
Datatilsynet har i flere år bedt bankene kutte ut bruken av fødselsnummer ved pålogging i nettbank. Dette har bankene suverent sett bort fra. Også banker som har gjennomført BankID, krever fortsatt at man skal taste inn hele fødselsnummeret – fødselsdata pluss personnummer – i stedet for å la kundene velge et eget brukernavn.
Fadesen i Skatteetaten er nok en bekreftelse på at omgangen med persondata er for slapp i miljøene vi er nødt til å betro oss til.
Finansminister Kristin Halvorsen bør benytte anledningen til å lansere et frontalangrep mot banker, etater og IT-miljøer for å få lagt om alle systemer der fødselsnummer eksponeres mer enn strengt tatt nødvendig.
Les også:
- [28.09.2011] Stjal topp-politikeres personnumre
- [18.08.2009] Datatilsynet refser DnB NOR
- [09.06.2009] Skremmende lett å finne fødselsnumre
- [07.10.2008] Norge går snart tom for fødselsnummer
- [27.09.2008] Er fødselsnummeret dødt?
- [19.09.2008] Skatteetaten anmeldes etter CD-rot
- [17.09.2008] Brukte gammelt passord på skandale-CD
- [17.09.2008] Skattedirektøren får beholde jobben
- [17.09.2008] Delte ut alle nordmenns fødselsnumre
- [08.09.2008] - Fordi systemet er slik
- [22.08.2008] Nok en britisk skandale om persondata
- [04.02.2008] Innsiktsløst fra NRK om ID-tyveri
