I går kveld ble tjenesten Altinn rammet av nok en skandale.

Les mer:

Mellom 18.17 og 18.34 kunne 1500 til 2000 personer se profilen med fødselsnummer til et ektepar fra Oslo, da de logget seg inn for å sjekke selvangivelsen. 192 personer forsøkte å hente ut informasjonen til brukeren.

Det viser en foreløpig redegjørelse sendt fra en representant hos Brønnøysundregistrene til Datatilsynet.

Ifølge redegjørelsen har ingen kunnet laste ned dokumentene til personen, som for eksempel selvangivelsen. Men de har kunnet se profilen til ham og hans kone, med fødselsnummer og hvilke instanser de har mottatt meldinger fra.

Det er foreløpig uklart når Altinn kan åpnes igjen for brukerne, men det er klart at det ikke blir åpnet i løpet av onsdag. Brønnøysundregistrene opplyser i en pressemelding at det er funnet konkrete problemområder å jobbe videre med, men at løsningen skal testes videre til de er sikre på at den virker som den skal.

– Brønnøysundregistrene legger stor vekt på sikkerhet og har nulltoleranse overfor brudd på personvern. Vi åpner derfor ikke løsningen før vi er helt sikre på at løsningen fungerer som den skal, sier fungerende direktør Håkon Olderbakk.

— Krenkende og ubehagelig

Ove Skåra, informasjonsdirektør i Datatilsynet, mener denne saken er alvorlig. Men det er ikke nødvendigvis slik at de som fikk eksponert fødselsnummeret sitt er mer utsatt for ID-tyveri enn andre.

— Når det gjelder ID-tyveri er han neppe mer utsatt for dette enn andre folk. Frem til midten av desember i fjor hadde enhver rett til å hente ut fulle fødselsnumre for flere hundre tusen mennesker fra statlige og kommunale etater, bare ved å vise til Offentlighetsloven, sier Skåra til Aftenposten.no.

Han mener kriminelle bruker andre metoder for å samle inn så mye informasjon som mulig.

Bekymret for masseutsending

Hvem som helst kan ta kontakt med et offentlig register og for eksempel be om opplysninger om alle som eier en viss biltype, be om en liste over alle barn som går på barneskole i en kommune eller kontaktinformasjon til studenter ved høyskoler og universiteter.

Man kan også be om fødselsnummeret til en hvilken som helst person fra Folkeregisteret, så lenge man har saklig grunn. Skåra er bekymret for at man kan be om opplysninger om mange personer på en gang.

— Jeg ville vært mer bekymret dersom jeg var student eller hadde barn i skolen. Når det gjelder ID-tyveri er masseutlevering av personopplysninger i medhold av offentlighetsloven en mye større kilde for å begå kriminelle handlinger enn at man skulle gå inn på Altinn.no akkurat da dette skjedde, sier Skåra.

Skåra presierer at saken likevel er alvorlig.

- At man vet at mellom 1500 til 2000 personer har sett dette, er krenkende og ubehagelig. Det skal vi ta på alvor, og det må Altinn ta ansvaret for, sier Skåra.

Han forteller også at Altinn må sende en avviksmelding til Datatilsynet, men det blir først når feilen er rettet.

Problematisk med fødselsnummer

Olav Torvund, professor ved senter for rettsinformatikk ved Universitetet i Oslo, mener det ikke burde være slik at fødselsnummeret er identifikasjon i seg selv.

— I praksis har det blitt slik at det kan være risikabelt om andre får tilgang til fødselsnummeret ditt, men det skyldes at en del har for slappe kontrollrutiner. Mange har for stor tillit til det, sier Torvund til Aftenposten.no.

— Det er et utslag av at alle skal være så brukervennlige og serviceorienterte, og så glemmer man at ryddighet og sikkerhet er en del av servicen man tilbyr. Fødselsnummeret i seg selv er ikke identifikasjon, sier Torvund, og viser til at man kan bruke eksisterende løsninger som BankID til å identifisere om du er den du utgir deg for å være.