Virksomheder, som sælger varer og serviceydelser på nettet, har et kæmpe ansvar, når danskerne bliver udsat for identitetstyveri. I hvert fald, hvis de benytter sig af cpr-numre som identifikation af deres kunder.
Virksomhederne burde nemlig vide bedre, mener professor ved Institut for Datalogi på Aarhus Universitet Ivan Bjerre Damgård.
- Jeg mener helt klart, at en virksomhed, som sælger sine varer eller tjenester på nettet, har til opgave at sikre sig, at de taler med de rigtige personer, siger han og fortsætter:
- I disse tider, der bør man vide, at det ikke er nok bare at basere sig på cpr-nummeret.
For ikke nok med, at cpr-nummeret er alt for let at gætte. Det indeholder samtidig en række personfølsomme oplysninger, som er helt unødvendige for virksomheden at få i hænde.
Derfor bør virksomhederne stoppe helt med at bruge cpr-nummeret som identifikationsmetode, mener Forbrugerrådet.
- Der er virksomheder, der beder om cpr-nummeret, når det er fuldstændigt unødvendigt. Derfor ser vi helst, at de overhovedet ikke bruger cpr-numre, men bruger nogle andre metoder, siger formand Anja Philip.
Og der er muligheder nok, mener Rådet for Digital Sikkerhed, der udover Forbrugerrådet også har blandt andre Dansk Industri bag sig.
- Man kunne bare bruge navn og adresse, et kundenummer, eller man kunne lade kunden selv vælge, hvilken form for identifikation, de ønsker at bruge, siger formand i Rådet for Digital Sikkerhed Birgitte Kofod Olsen.
Det kunne for eksempel være NemID, en selvvalgt pinkode eller andre lignende digitale identifikationer, som ikke indeholder oplysninger som fødselsdato og adresse.
Men virksomhederne skal selv opdage, at det kan betale sig at bruge andre midler end cpr-nummeret.
- Hvis man kan begynde at håndtere sin persondata og bruge et minimum af data, i stedet for alt det overskudsdata som kommer ind, når man bruger sådan noget som cpr-nummeret, så betyder det også noget på bundlinjen, siger hun.
/ritzau/