Teleindustrien har den 28. juni 2013 fremsendt nedenstående brev til Økonomi- og Indenrigsminister Margrethe Vestager om brug af sikre CPR-løsninger.

Efter Teleindustriens opfattelse har Økonomi- og Indenrigsministeriet en noget skæv kurs på dette område.

Evt. spørgsmål kan rettes til direktør i Teleindustrien Jakob Willer på telefon 20102365.

—————-

Kære Margrethe Vestager,

Der har i foråret 2013 været løbende korrespondance og afholdt møder mellem CPR-kontoret, Teleindustrien og en række teleselskaber om sikkerhed ved CPR-opslag i CPR-registret. Teleindustrien har i processen lagt vægt på at sikre, at der blev etableret tilstrækkeligt sikre selvbetjeningsløsninger for at begrænse risikoen for afprøvning af forskellige CPR-numre.

CPR-kontoret har i denne proces været konstruktive og pragmatiske i forhold til at finde løsninger, der kan fungere i praksis, og CPR-kontoret har i processen accepteret selvbetjeningsløsninger på hjemmesider således, at der tillades tre forsøg med indtastning af navn og personnummer, for at tage højde for, at der i praksis kan ske indtastningsfejl. Hvis indtastning ikke er korrekt i tre forsøg, spærres der for yderligere opslag i en periode for derved at begrænse muligheden for maskinelle og gentagne opslag. Dette er efter Teleindustriens opfattelse en god og pragmatisk løsning, som både tager hensyn til at reducere risikoen for afprøvning af forskellige kombinationer af CPR-numre og sikre muligheden for at konstruere praktisk anvendelige selvbetjeningsløsninger. Det skal bemærkes, at teleselskaberne anvender CPR-nummeret til identifikation af kunden og ikke som legitimation (pinkode), som selskabet betjener kunden på baggrund af.

Imidlertid har en række teleselskaber den 25. juni 2013 modtaget skrivelser fra CPR-kontoret, der indebærer, at selskaberne senest med udgangen af august 2013 skal ændre den måde, selskaberne anvender information fra CPR-registret og indretter selvbetjeningsløsninger.  Inden udgangen af august 2013 skal selvbetjeningsløsninger indrettes således, at tilbagemeldinger på indtastede data skal være af en sådan karakter, at resultatet af en validering mod CPR ikke afsløres for brugeren. Dette udelukker de netop accepterede og etablerede løsninger med tre indtastninger og efterfølgende spærring.

Det fornyede og skærpede krav fra CPR-kontoret er fremsat uden forudgående høring eller anden inddragelse af selskaberne eller branchen. Og I lyset af den netop gennemførte dialog om brugbare og accepterede løsninger, forekommer det helt uforståeligt, at der uden varsel fremsættes et sådan krav. Endvidere er kravet fremsat med en helt urimelig implementeringsfrist, henset at selvbetjeningsløsninger og brugergrænseflader er komplicerede at ændre uden grundige forberedelser og analyser.

Efter Teleindustriens opfattelse vil begrænsningen i muligheden for at foretage identifikation af kunden på baggrund af CPR gøre selvbetjeningsløsninger vanskelige at implementere i praksis og vil medføre øgede administrative omkostninger for selskaberne til manuel betjening.

Et muligt alternativ er at etablere løsninger baseret på NemID, hvilket flere selskaber selvfølgelig allerede overvejer. Dette vil dog navnlig være relevant at overveje nærmere, når NemID-løsninger også er mulige at anvende på mobiltelefoner og tablets, hvilket de ikke er i dag. Endvidere er det forbundet med væsentlige omkostninger at implementere og drive sådanne løsninger.

Teleindustrien opfordrer på denne baggrund Økonomi – og Indenrigsministeriet til at indgå i dialog med industrien og selskaberne om det fremsatte krav om tilretning af selvbetjeningsløsninger, således at der kan findes holdbare og langsigtede løsninger, der tager hensyn til både sikkerheden, de økonomiske og administrative forhold for selskaberne, behovet for at indrette digitale selvbetjeningsløsninger, der kan fungere i praksis samt behovet for stabilitet og forudsigelighed i kravene, således at systemer ikke skal tilrettes i flere omgange.

Endvidere skal Teleindustrien opfordre Økonomi – og Indenrigsministeriet til at rette fokus mod det reelle problem i relation til CPR, som ikke består i en teoretisk mulighed for afsløring af CPR-numre, men i at CPR-numre tilsyneladende nogle steder kan anvendes til at legitimere sig med og blive betjent på baggrund af. CPR-nummeret er ikke en hemmelig pin-kode.