Er cpr nr. personfølsom oplysning?

CPR-nummeret: Følsomt, men ikke automatisk “følsomt”

CPR-nummeret er en central del af det danske samfund, en unik identifikator, der bruges til alt fra at modtage løn til at få adgang til sundhedsydelser. Men er det en følsom personoplysning i juridisk forstand? Svaret er nuanceret.

Nej, CPR-nummeret falder ikke direkte ind under definitionen af en følsom personoplysning i henhold til persondatalovgivningen. Lovgivningen definerer følsomme personoplysninger som oplysninger om racemæssig eller etnisk oprindelse, politiske anskuelser, religiøs eller filosofisk overbevisning, fagforeningsmæssig tilknytning, sundhedsforhold, seksuel orientering eller seksuelle handlinger samt genetiske data. CPR-nummeret i sig selv indeholder ikke disse typer af informationer.

Men det betyder ikke, at CPR-nummeret kan behandles uforsigtigt. Tværtimod. Det er en meget fortrolig oplysning, der, hvis den falder i de forkerte hænder, kan føre til alvorlig identitetstyveri og misbrug. Det er præcis denne risiko, der kræver, at CPR-nummeret behandles med ekstrem forsigtighed og i streng overensstemmelse med persondatalovgivningen.

Tænk på det som en nøgle til en persons digitale identitet. Nøglen i sig selv er ikke iboende “følsom”, men adgangen den giver til en persons data gør den til en højtværdi vare for kriminelle. Tab af CPR-nummeret kan åbne døren til uautoriseret adgang til bankkonti, lån og andre vigtige personlige oplysninger.

Derfor er det afgørende, at behandling af CPR-nummeret altid er:

• Nødvendigt: Brugen skal være proportional og begrænset til det strengt nødvendige for at identificere personen unikt.
• Formålsbestemt: Dataindsamlingen skal have et specifikt og legitimt formål, der er klart angivet.
• Sikkerhedsbeskyttet: Data skal opbevares og håndteres sikkert med passende tekniske og organisatoriske foranstaltninger for at forebygge uautoriseret adgang, tab, ændring eller ødelæggelse.

At kategorisere CPR-nummeret som “ikke følsomt” må derfor ikke misforstås som en tilladelse til slap håndtering. Det kræver en proaktiv og ansvarlig tilgang fra alle, der håndterer disse oplysninger, at beskytte borgerne mod de alvorlige konsekvenser af et kompromitteret CPR-nummer. Ansvaret ligger hos både offentlige myndigheder, private virksomheder og individer.