På fremsiden av konvoluttene fra Arbeids- og velferdsdirektoratet (NAV) er strekkodene synlige for alle som får tak i dem, og med få tastetrykk kan man med smarttelefoner laste ned, fullt lovlig, programmer som kan lese kodene.
Når man skanner strekkodene på NAV-konvoluttene, der både navn og adresse på mottakeren står på fremsiden, får man i tillegg opp fødselsnummeret til personen.
Datatilsynet mener dette er brudd på personvernet, og kritiserer NAVs strekkode-ordning.
Etter henvendelse fra NRK legger NAV seg flat og endrer rutinen for utsendelsen av de nesten 2 millioner brevene.
Saken er også en vekker for andre - for det er vanskelig å forutse hvordan ny teknologi kan benyttes.
Gjemmer nummeret i en enkel kode
Alle nordmenn har et fødselsnummer som består av elleve sifre. Nummeret tildeles av den norske stat, og skiller enkeltpersoner fra hverandre.
De seks første sifrene er personens fødselsdato, mens personnummeret er de fem siste sifferene i fødselsnummeret. Det tredje sifferet i personnummeret forteller noe om kjønn. Kvinner har like tall (partall), mens menn har ulike tall (oddetall).
Fødselsnummeret på NAV-brevene er lagt i en kode som er enkel å knekke. Personnummeret som skjuler seg i strekkoden er ikke skrevet rett frem, men dersom du mottar et brev fra NAV og skanner ditt eget personnummer, knekker du koden på alle de andre brevene.
– Datatilsynet er kritisk til at fødselsnummeret gjøres så tilgjengelig, og mener dette er brudd på personvernlovgivningen, sier informasjonsdirektør Ove Skåra til NRK.
Ikke lov med kodet fødselsnummer utenpå post
For det er forbudt å ha fødselsnummer utenpå postsendinger. Nummeret skal ikke kunne leses utenpå et brev eller gjennom konvoluttvinduet.
«Det er heller ikke lov å benytte en tallkombinasjon som er en omskrivning av fødselsnummeret, som for eksempel personnummeret først og fødselsdatoen til slutt», skriver Datatilsynet på sine nettsider.
– Dette er bare som en enkel kryptering av en pin-kode. For å sammenligne: Tenk deg en privatperson som noterer seg pin-koden for bankkortet sitt på en lapp, og skjuler det - som for eksempel hvis kortkoden din er 0477 og du lagrer en lapp med «NRKs tipstelefon 23047777». Dersom bankkontoen blir tappet etter at bankkortet og denne lappen er forsvunnet, står korteier ansvarlig, sier Skåra.
Ove Skåra og Datatilsynet avventer en redegjørelse fra NAV.
Foto: Hans Fredrik Asbjørnsen / DatatilsynetPå grunn av ny teknologi - at man så lett kan laste ned strekkodelesere og skanne koden på brevene - konkluderer tilsynet med at NAV har gjort fødselsnummeret tilgjengelig utenpå brevene.
– Når det er kryptert så enkelt, er det for alle praktiske formål tilgjengeliggjort. Det gjør det lett å høste inn personnumre, sier Skåra.
For i 2011 er det ingen beskyttelse i å gjemme noe i en strekkode.
Vanlige applikasjoner på telefonen
Uten å være spesielt teknisk kyndig klarte NRKs reporter enkelt å laste ned et program til telefonen og lese av strekkoden på et slikt brev.
– Slike applikasjoner til telefonen er vanlige også i andre sammenhenger. Man kan tenke seg at det også er enklere å lagre slik informasjon ved å skanne med telefonen enn å notere på en lapp man mister eller krøller, og i så måte kan man si at informasjonenen er gjort enda mer tilgjengelig, sier Skåra.
– Dette er et illustrerende eksempel på at risikovurderingen endrer seg. For få år siden ville man trengt dyre skannere for å lese disse kodene, mens det nå fins gratis for telefoner. Det er nok en utfordring for forvaltningen å henge med og ha løpende risikovurderinger. Men det må de, sier Skåra.
Etter at NRK gjorde Datatilsynet oppmerksom på saken, avventer tilsynet en redegjørelse og en avviksmelding fra NAV.
Dette er ikke bra, sier Nina Aulie, IKT-direktør i NAV.
Foto: Nyebilder.no / NAVNAV: Risikovurderingen er endret
NAV varslet selv Datatilsynet etter at NRK hendvendte seg for å finne ut om det var gjort en risikovurdering med å trykke fødselsnumrene på fremsiden av konvolutten. Og i etaten legger man seg flate.
– Dette er ikke bra, og vi skal nå gå gjennom våre rutiner, sier IKT-direktør og sikkerhetsansvarlig Nina Aulie i NAV.
NAV forvalter en tredel av statsbudsjettet gjennom ordninger som dagpenger, arbeidsavklaringspenger, pensjon, barnetrygd og kontantstøtte. Over 2 millioner mennesker mottar en eller annen form for ytelse fra NAV. Nesten 2 millioner mottar slike brev.
– Denne strekkoden har sikret at alle mottakere har fått utbetalingsmeldingen. Dette er hovedhensikten med å ha en unik ident på forsiden av brevet, forklarer Aulie.
Men NAV innser at ny teknologi gir nye muligheter, og at dette forandrer risikovurderingen.
– Vi jobber systematisk med sikkerhet, og dette må revurderes nå. Det løser vi, og det løser vi raskt, sier Aulie, som håper at en ny løsning på brevene skal være på plass i løpet av noen dager.
Ikke sensitiv opplysning
Koden på brevet er å få tak i, og NAV vil nå forandre rutinene sine.
Foto: Sjur Ø. Knudsen / NRKIfølge Datatilsynet er ikke fødselsnummeret regnet som en sensitiv opplysning, men er likevel underlagt en spesiell beskyttelse.
Tilsynet advarer om at opplysninger som havner i feil hender kan misbrukes, blant annet til identitetstyveri. På verdensbasis opplever 4-5 prosent av befolkningen at identiteten deres blir stjålet.
Personer med onde hensikter kan også bruke slike opplysninger til å ordne adresseendring, skaffe bankopplysninger, bestille kredittkort eller bestille telefoner med abonnementer.
«Personopplysninger kan også misbrukes til å skaffe seg ytterligere tilgang til informasjon om enkeltmenneskers bevegelse, kommunikasjon og økonomiske disposisjoner, mot vedkommendes vilje og ønske», skriver Datatilsynet.
