Er CPR en personfølsom oplysning?

Er CPR-nummeret en personfølsom oplysning?

Centralpersonregistret (CPR) er et unikt identifikationsnummer, der tildeles alle danske statsborgere og personer med bopæl i Danmark. Mens CPR-numre ikke eksplicit klassificeres som personfølsomme oplysninger i persondataforordningen (GDPR), er det vigtigt at håndtere dem med samme forsigtighed som andre følsomme personoplysninger.

Risici ved misbrug af CPR-numre

Misbrug af CPR-numre kan have alvorlige konsekvenser, herunder:

• Identitetstyveri: Kriminelle kan bruge CPR-numre til at oprette falske identiteter og begå bedrageri eller andre forbrydelser.
• Dataindbrud: CPR-numre er ofte en del af store datasæt, der kan være sårbare over for cyberangreb.
• Diskret overvågning: CPR-numre kan bruges til at spore en persons færden og aktiviteter.

Behandling som følsomme personoplysninger

Selvom CPR-numre ikke eksplicit er klassificeret som følsomme personoplysninger, anbefaler Datatilsynet, at de behandles med samme omhu. Dette skyldes, at de indeholder unikke oplysninger, der kan bruges til at identificere og profilere enkeltpersoner.

Sikkerhedsforanstaltninger

For at beskytte CPR-numre effektivt bør organisationer implementere strenge sikkerhedsforanstaltninger, herunder:

• Kryptering: CPR-numre bør krypteres ved lagring og transmission.
• Adgangskontrol: Adgang til CPR-numre bør begrænses til autoriseret personale på et “need-to-know”-grundlag.
• Revisionsspor: Der bør holdes log over, hvem der har fået adgang til CPR-numre, og hvorfor.
• Regelbundne sikkerhedsvurderinger: Organisationen bør regelmæssigt vurdere sikkerheden af deres CPR-håndteringspraksis.

Konklusion

Selvom CPR-numre ikke teknisk set er klassificeret som følsomme personoplysninger, er det afgørende at håndtere dem med stor forsigtighed. Misbrug af CPR-numre kan have alvorlige konsekvenser, og derfor bør organisationer implementere passende sikkerhedsforanstaltninger og følge bedst praksis for håndtering af følsomme personoplysninger.