Det ble kjent i går kveld at en CD som Skatteetaten har sendt til flere norske avisredaksjoner, inneholdt alle norske skattebetaleres fødselsnummer i tillegg til deres navn, inntekt og formue.
I noen medier ble dette framstilt som en skandale av britiske proporsjoner: De viste til tilfellet i fjor der en ukryptert CD med detaljer om 25 millioner husholdninger som mottok barnebidrag, forsvant etter å ha blitt postlagt som vanlig sending.
Det er en vesentlig forskjell mellom det norske og det britiske tilfellet: Den norske CD-en var kryptert. For å låse opp CD-en måtte redaksjonene logge seg på hos Skatteetaten med brukernavn og passord, og bli tildelt en 30-sifret kryptonøkkel. Denne tjenesten kom aldri på lufta.
Med andre ord: Hvis norske avisredaksjoner følger vanlig folkeskikk og straks destruerer CD-ene, er fødselsnumrene fortsatt like trygge – eller utrygge – som de alltid har vært.
At vi kan trekke et lettelsens sukk i dette tilfellet, betyr ikke at vi skal slå oss til ro med hvordan nordmenns identitet vernes i det digitale rom i dag.
Altfor mange datasystemer bruker fødselsnummer som unik identifikator. Solabladet avslørte i forrige uke at Rogaland Kollektivtrafikk forlangte å få utlevert elevers fødselsnummer i forbindelse med en skoleskyssordning. Unnskyldningen til myndighetene som forsvarte utleveringen, er klassisk: «Det er slik systemet er.»
Datatilsynet har i flere år bedt bankene kutte ut bruken av fødselsnummer ved pålogging i nettbank. Dette har bankene suverent sett bort fra. Også banker som har gjennomført BankID, krever fortsatt at man skal taste inn hele fødselsnummeret – fødselsdata pluss personnummer – i stedet for å la kundene velge et eget brukernavn.
Fadesen i Skatteetaten er nok en bekreftelse på at omgangen med persondata er for slapp i miljøene vi er nødt til å betro oss til.
Finansminister Kristin Halvorsen bør benytte anledningen til å lansere et frontalangrep mot banker, etater og IT-miljøer for å få lagt om alle systemer der fødselsnummer eksponeres mer enn strengt tatt nødvendig.
