Lad os få det overstået med det samme: Mit personnummer er 210959-4639. ”Jamen, er det ikke hemmeligt?” Kunne du med rædsel spørge. Det er det i princippet. Datatilsynet gør deres bedste for at sikre, at myndigheder og virksomheder ikke afslører dem. En næsten umulig opgave.

Senest kom Fyns Kommune – igen – til at afsløre ægte cpr-numre på deres hjemmeside, rapporterede Fyns Stiftstidende sidste uge. Denne gang var det personnumre og kontokortoplysninger for en række politikere og embedsmænd, der havde ligget på deres hjemmeside i halvandet år (!). Før jul havde kommunen sendt cpr-numre og andre personlige oplysninger ud til en række udenforstående personer.

Kontorchef Lena Andersen fra Datatilsynet har fortalt mig, at Odense Kommune langt fra er den eneste, der ikke kan holde personnumre hemmelige: Hun får flere sager hver måned, der ligner. Årsagen til afslørede personnumre kan også være noget så simpelt som et tabt eller glemt sundhedskort.

Uanset årsag kan det have grimme konsekvenser, som man har kunnet læse her i avisen: En række personer har været udsat for identitets-tyveri, hvor svindlere kunne udgive sig for dem, og har lånt bøger eller købt varer på deres regning. Alene fordi de havde ofrenes navn og personnummer. En på alle måder ubehagelig oplevelse for dem, det er gået ud over.

Politikerne og andre uvidende væsener har da heller ikke været sene til at kræve en modernisering af CPR-nummersystemet. Men det vil være ekstremt kostbart, og det vil ikke løse det grundlæggende problem: Virksomheder og myndigheder kan ikke kende forskel på, om de kender en persons identitet, eller om de ved, at det faktisk er den person, de har kontakt med.

Forvirret? Lad mig prøve at forklare – og dermed forsvare – CPR-nummeret.

I mere end 40 år har vi haft meget stor glæde af at have ét entydigt nummer til hver person. Det blev indført i 1968, fordi de manuelt førte folkeregistre var blevet en for tung opgave for kommunerne. Derfor besluttede man at indføre et ”edb-baseret centralt personregister” (CPR), som det blev omtalt den gang.

I it-systemer skal forskellige forekomster have et unikt nummer, og det er CPR-nummeret. Ingen andre levende eller døde danskere har mit personnummer. Derfor kan det samme nummer bruges af mange forskellige it-systemer. Genialt – og en forudsætning for mange af de effektive it-løsninger, vi har herhjemme. At selvangivelseshelvedet er blevet en efterretningssag kunne ikke lade sig gøre uden personnummeret. Mange andre anvendelser som elektroniske patientjournaler kan heller ikke lade sig gøre, uden at en person kan identificeres entydigt – på tværs af myndigheds- og virksomhedsskel.

Alle andre skandinaviske lande har da også et personnummer som vores.

Den ene ulempe ved CPR-nummeret er, at der er så mange it-systemer , som anvender cpr-nummeret, at det ikke kan ændres. For det vil kræve ændringer i hundred- eller tusindvis af it-systemer hos myndigheder og virksomheder, da de så skal kunne håndtere mere end et personnummer pr person. Hvilket vil være en meget grundlæggende – og dermed kostbar og tidskrævende – ændring.

Den anden ulempe er, som skrevet ovenfor, risikoen for identitetstyveri. Spørger man sikkerhedseksperter, vil mange svare, at dette skal løses ved at indføre mere avancerede løsninger, eksempelvis egentlige borgerkort. Problemerne med den slags løsninger er bare, at de komplicerer alle løsninger, som bruger dem, og at de kræver store investeringer.

En meget enklere løsning er, at alle virksomheder og myndigheder alene bruger personnummeret til det, det er: En identifikation af de enkelte borgere, som er mere entydig end deres navn. CPR-nummeret kan derfor sagtens være offentligt tilgængeligt. Det bør aldrig bruges som en slags password.

Når den erkendelse er opnået, skal alle derefter bruge energien på at fastslå, om personen rent faktisk er den, han giver sig ud for at være. Det kan ske vha. billed-legitimation, NemID, fysisk underskrift eller hvad der nu er passende i sammenhængen.

Og den type løsninger er betydeligt billigere at indføre – og bruge – end alle de fancy faciliteter sikkerhedseksperter og vildledte politikere gerne vil belemre os med.

Bragt som kommentar i Morgenavisen Jyllands-Posten d. 24. januar 2012