Ikke vår feil

Orapp.no meldte tirsdag at mange folks fødsels- og personnummer kan finnes på internett ved hjelp av søkemotoren Google.

Blant annen kunne vi laste ned fullstendige registeropplysninger fra Brønnlysundregistrene hvor både navn, adresse, telefonnummer, organisasjonsnummer, samt fødsels- og personnummer var oppgitt.

Brønnøysundregistrene skriver i dag, onsdag, på sin hjemmeside at folk ikke har noen grunn til å frykte at personinformasjon fra BRREG kan komme på avveie.

Dette skriver kommunikasjonssjef Dan-Erik Aggvin ved Brønnøysundregistrene:

"Det er ingen grunn til å vere redd for at personinformasjon frå Brønnøysundregistra skal kome på avvegar slik orapp.no hevdar. I det konkrete dømet dei brukar, der ei fullstendig registerutskrift har vore tilgjengeleg for søkemotoren Google, var det menneskeleg feil hos eininga sjølv som gjorde at opplysningane var tilgjengelege.
Ved registrering av til dømes styret i ei eining, må ein registrere fødselsnummer på dei involverte. Dei einaste som kan få ut desse opplysningane er eininga sjølv, offentlege etatar som har heimel til det og kredittopplysningsbyrå med konsesjon til å behandle personopplysningar. Andre vil berre kunne hente ut ei registerutskrift utan slike personopplysningar.
- Korleis mottakarane av registeropplysningar handsamar dei er sjølvsagt utafor vår kontroll, seier kommunikasjonssjef Dan-Erik Aggvin. - Dei har eit sjølvstendig ansvar for trygg handsaming av opplysningane.
Detaljane om kva som har skjedd i saka som er omtalt av orapp.no, ønskjer ikkje Brønnøysundregistra å gå i detalj om, ut over at det her er snakk om at ei eining sjølv har gjort ei digitalisert utgåve av ei fullstendig registerutskrift synleg for søkemotorar etter ein menneskeleg feil, noko som ikkje har med Brønnøysundregistra å gjere i det heile."

Orapp.no presiserer

I artikkelen fra tirsdag skriver vi følgende:

"En undersøkelse ble iverksatt umiddelbart, og Brønnøysundregistrene kunne fortelle at problemet ligger hos dem som abonnerer på Brønnøysundregistrenes tjenester, og ikke i registertjenestens datasystemer.
Rådgiver Steinar Ekse i Brønnøysundregistrene sier at mange har et påloggingssystem som ikke er tilstrekkelig sikret slik at søkemotoren kan fange opp dokumentene."

Vi påstår IKKE at opplysningene lekkes fra Brønnøysundregistrene.

Når det gjelder eksempelet som Da-Erik Aggvin viser til, er det bare ett av mange dokumenter vi fant ved hjelp av Google som inneholdt fullstendige personopplysninger.
Google fant også en rekke dokumenter i offentlige servere, tilhørende kommuner som Oslo, Bergen og Drammen, med samme type opplysninger.

Det antyder at det her er snakk om en omfattende brist i datasikkerheten - IKKE et enkeltstående tilfelle.

Personnummer til avdød

Orapp.no har også funnet en pasientjournal med navn, adresse, fødsels- og personnummer til en person som døde i 2007.

Personnumre og fødselsdato kan blant annet brukes til å gjøre en adresseendring, skaffe bankopplysninger og bestille kredittkort. Kriminelle bruker det til å overta andres identitet.

Dersom identitetstyver får tak i personnummeret til en nylig avdød person, kan de foreta alvorlige lovbrudd over tid uten at det oppdages.

Vi har også funnet fødsels- og personnummer til utenlandske statsborgere i norske offentlige registre.