mboost-dp1

Det Centrale Personregister

Danske lægers CPR-numre lå frit tilgængeligt på amerikansk website

-

3.100 danske lægers navne og CPR-numre har i en periode ligget offentligt på en amerikansk hjemmeside. Sagen er nu meldt til politiet af Lægeforeningen.

Ifølge politiet har højst 30 personer haft adgang til oplysningerne, inden hjemmesiden med dataen blev lukket. Oplysningerne var tilgængelige i fire uger.

Har man navn og CPR-nummer på en læge, er det muligt at få adgang til receptpligtig medicin.

‘Hvis man ringer til apoteket og præsenterer sig som læge og kan oplyse sit CPR-nummer, kan de slå én op og se, at man er læge. Og så kan man få en recept på alt, selv de stærkeste morfika (lægemidler i morfinklassen, red.),’ forklarer overlæge Peder Klement Jensen, medlem af Lægeforeningens Sundheds-it-udvalg til det videnskabelige medlemsblad ugeskriftet.dk.

Lægeforeningen har undersøgt sine egne it-systemer og melder, at det ikke lader til, oplysningerne er kommet der fra.





Gå til bund
Gravatar #1 - HenrikH
14. okt. 2016 09:20
Oooog så har vi endnu et eksempel på misbrug af CPR systemet - som netop ikke er beregnet til at verificere hvem du er, blot identificere.

At oplyse navn og CPR nummer er jo som at oplyse sit navn to gange....
Gravatar #2 - Slettet Bruger [233576071]
14. okt. 2016 10:11
HenrikH (1) skrev:
Oooog så har vi endnu et eksempel på misbrug af CPR systemet - som netop ikke er beregnet til at verificere hvem du er, blot identificere.

At oplyse navn og CPR nummer er jo som at oplyse sit navn to gange....


Ville du ikke ønske at alt der var påkrævet på newz.dk var at angive 'HenrikH' for at logge ind på din konto?

Jeg kan personligt godt lide det estiske system. Jeg har et ID-chipkort som indeholder 4 informationer tilgængeligt for alle. Navn, personnummer, document ID og certifikat signatur til at se om certifikatet stadigt er valid.

Ud over det, så indeholder chippen et key pair til identifikation. Jeg kan nu uddele enten min public key til 3. part eller overlevere mit personnummer til 3. part (hvor de får min public key gennem staten) og de kan enten verificere et signeret stykke data jeg har sendt til dem eller de kan kryptere data og sende til mig hvor kun jeg har mulighed for at åbne dataen.

Der findes flere åbne biblioteker til udvikling og de bygger på åbne standarder.

Ulempen: Hardware krav.
Gravatar #3 - _tweak
14. okt. 2016 10:17
IT-ekspert Yvossen (2) skrev:
Ville du ikke ønske at alt der var påkrævet på newz.dk var at angive 'HenrikH' for at logge ind på din konto?

Tak for dit input - det er nu implementeret.
Gravatar #4 - Chucara
14. okt. 2016 11:46
#2: Det er bare lidt besværligt for lægerne at skulle oplæse en krypteret recept for apoteket :D

Men jeg forstår ikke helt at CPR er nok. Hvad med deres autorisationsnummer? Ikke at det øger sikkerheden gevaldigt...
Gravatar #5 - Slettet Bruger [233576071]
14. okt. 2016 12:41
Chucara (4) skrev:
#2: Det er bare lidt besværligt for lægerne at skulle oplæse en krypteret recept for apoteket :D

Men jeg forstår ikke helt at CPR er nok. Hvad med deres autorisationsnummer? Ikke at det øger sikkerheden gevaldigt...


Skulle være relativt straight forward at lave et værktøj til lægerne hvor de kan indsætte deres ID-kort, skrive deres PIN-kode og generere dem en ~4 cifret kode. Apoteket vil så kunne få lægens personnummer plus den 4-cifrede kode for at verificere det. Eller, bare gøre det elektronisk.
Gravatar #6 - moulder666
14. okt. 2016 13:26
HenrikH (1) skrev:
Oooog så har vi endnu et eksempel på misbrug af CPR systemet - som netop ikke er beregnet til at verificere hvem du er, blot identificere.

At oplyse navn og CPR nummer er jo som at oplyse sit navn to gange....


Præcis. Det er skræmmende, hvor mange der bruger CPR systemet på en måde, som det slet ikke er meningen.

CPR systemet i sig selv er sådan set ikke det største problem, som jeg ser det. Det er de steder - som lige her - der benytter CPR systemet på en dybt idiotisk måde uden at tilføje en ekstra sikkerhedsfaktor.

Gravatar #7 - HenrikH
14. okt. 2016 13:27
Hey, lægen kunne også sende en e-mail der er signeret med deres NemID - men det er nok for besværligt.

EDIT: Købte noget over nettet på et tidspunkt, hvor de bad mig sende et billede af mit sygesikringsbevis, hvor CPR var streget ud, selvfølgelig. For at verivicere at jeg var mig, og ikke havde stjålet mit Dankort.

De fik billedet, med lidt mere en CPR streget ud, og en god sides penge med hvorfor deres "sikkerhedsforanstaltning" var den værste omgang ineffektive hø - inkl. adskillige eksempler på hvorfor det på ingen måde virkede....
Gravatar #8 - TheAvatar
15. okt. 2016 09:28
HenrikH (7) skrev:
Hey, lægen kunne også sende en e-mail der er signeret med deres NemID - men det er nok for besværligt.

EDIT: Købte noget over nettet på et tidspunkt, hvor de bad mig sende et billede af mit sygesikringsbevis, hvor CPR var streget ud, selvfølgelig. For at verivicere at jeg var mig, og ikke havde stjålet mit Dankort.

De fik billedet, med lidt mere en CPR streget ud, og en god sides penge med hvorfor deres "sikkerhedsforanstaltning" var den værste omgang ineffektive hø - inkl. adskillige eksempler på hvorfor det på ingen måde virkede....

Håber også du huskede at strege stregkoden over :)
Gravatar #9 - HenrikH
17. okt. 2016 08:21
TheAvatar (8) skrev:
Håber også du huskede at strege stregkoden over :)

Selvfølgelig - selv min sikringsgruppe og læge - det var i bund og grund min adresse på en gul baggrund de fik tilsendt :-P

Og da leverancen var til en pakkeshop var det jo helt vildt relevant, ikke?
Gravatar #10 - nwinther
18. okt. 2016 12:40
Det er selvfølgelig noget skidt og alt det dér.

Men hvor stort er problemet reelt? Ville det enkelte apotek ikke begynde at undre sig, hvis en bestemt læge altid _ringede_ ind, for at bestille stærke morfika mv. og aldrig skrev en decideret recept? Eller hvis 10 forskellige læger gjorde det samme indenfor kort tid?

Systemet skal fikses og så videre - men ro på.
Gravatar #11 - modgaard
18. okt. 2016 13:29
nwinther (10) skrev:
Det er selvfølgelig noget skidt og alt det dér.

Men hvor stort er problemet reelt? Ville det enkelte apotek ikke begynde at undre sig, hvis en bestemt læge altid _ringede_ ind, for at bestille stærke morfika mv. og aldrig skrev en decideret recept? Eller hvis 10 forskellige læger gjorde det samme indenfor kort tid?

Systemet skal fikses og så videre - men ro på.


Derudover er der risikoen for mere generel misbrug af personernes cpr-numre.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login