Dette må gjøres etter skattelisteskandalen

Fødselsnummer-CD-en var kryptert. Det må ikke avspore finansministeren fra et nødvendig frontalangrep.

Det ble kjent i går kveld at en CD som Skatteetaten har sendt til flere norske avisredaksjoner, inneholdt alle norske skattebetaleres fødselsnummer i tillegg til deres navn, inntekt og formue.

I noen medier ble dette framstilt som en skandale av britiske proporsjoner: De viste til tilfellet i fjor der en ukryptert CD med detaljer om 25 millioner husholdninger som mottok barnebidrag, forsvant etter å ha blitt postlagt som vanlig sending.

Det er en vesentlig forskjell mellom det norske og det britiske tilfellet: Den norske CD-en var kryptert. For å låse opp CD-en måtte redaksjonene logge seg på hos Skatteetaten med brukernavn og passord, og bli tildelt en 30-sifret kryptonøkkel. Denne tjenesten kom aldri på lufta.

Med andre ord: Hvis norske avisredaksjoner følger vanlig folkeskikk og straks destruerer CD-ene, er fødselsnumrene fortsatt like trygge – eller utrygge – som de alltid har vært.

At vi kan trekke et lettelsens sukk i dette tilfellet, betyr ikke at vi skal slå oss til ro med hvordan nordmenns identitet vernes i det digitale rom i dag.

Altfor mange datasystemer bruker fødselsnummer som unik identifikator. Solabladet avslørte i forrige uke at Rogaland Kollektivtrafikk forlangte å få utlevert elevers fødselsnummer i forbindelse med en skoleskyssordning. Unnskyldningen til myndighetene som forsvarte utleveringen, er klassisk: «Det er slik systemet er.»

Datatilsynet har i flere år bedt bankene kutte ut bruken av fødselsnummer ved pålogging i nettbank. Dette har bankene suverent sett bort fra. Også banker som har gjennomført BankID, krever fortsatt at man skal taste inn hele fødselsnummeret – fødselsdata pluss personnummer – i stedet for å la kundene velge et eget brukernavn.

Fadesen i Skatteetaten er nok en bekreftelse på at omgangen med persondata er for slapp i miljøene vi er nødt til å betro oss til.

Finansminister Kristin Halvorsen bør benytte anledningen til å lansere et frontalangrep mot banker, etater og IT-miljøer for å få lagt om alle systemer der fødselsnummer eksponeres mer enn strengt tatt nødvendig.

    Les også:

Til toppen