Erhverv

Fagforening får kritik - brugte medlemmers CPR-nummer som kodeord

Krifa troede, at det var okay at bruge borgerens CPR-nummer som kodeord til fagforeningens mail-løsning. Men det var Datatilsynet uenig i.

Krifas medlemmer skal ikke længere kunne logge ind med CPR-nummeret som kode. Foto: Thomas Borberg

Det er snart slut med at bruge sit CPR-nummer som kodeord, når man skal logge ind på Krifas sikre mailløsning. Årsagen er, at Datatilsynet har kritiseret Krifa for at lade brugerens CPR-nummer fungere som kodeord som login til mailen. Det skriver Version2.

Med kritikken følger også et påbud til Krifa om at rette op på sin praksis. Det vil Krifa imødekomme, og i første omgang vil foreningens medlemmer skulle logge ind med engangskoder, som brugeren får over sms.

På længere sigt arbejder Krifa på, at medlemmerne kan logge ind med NemID. Det udtaler Hans Pedersen, der er Krifas databeskyttelsesofficer, til Version2.

»Vi har risikovurdereret det og mente, at det var okay. Hvem får en mail samtidig med, at man kender CPR-nummeret? Det må vi så tage til efterretning nu og sige, at det ikke er nok, og vi fjerner muligheden for at logge ind med CPR hen over weekenden,« siger han til Version2.

Ifølge Datatilsynets it-sikkerhedsspecialist, Allan Frank, er det dog en kende utidssvarende, at man bruger CPR-nummeret som login.

»Som it-sikkerhedsmand gennem mange år synes jeg, at man burde være gået bort fra at bruge CPR som kodeord for længe siden,« siger Allan Frank til Version2.

Det er dog ikke kun indlogningsmetoden, som Datatilsynet kritiserer i sin rapport. Krifa har nemlig også lavet en fejl, der betyder, at der er sendt 1.544 ukrypterede mails til medlemmerne, hvor det fremgår, at de er medlem af fagforeningen.

Da tilhørsforhold til fagforeninger anses som følsomme persondata, er dette i strid med loven.

Læs også