{"id":2280,"date":"2025-09-01T19:42:32","date_gmt":"2025-09-01T19:42:32","guid":{"rendered":"https:\/\/bedrecybersikkerhed.dk\/?p=2280"},"modified":"2025-09-01T20:00:41","modified_gmt":"2025-09-01T20:00:41","slug":"cpr-sagen-et-symptom-paa-danmarks-digitale-saarbarhed","status":"publish","type":"post","link":"https:\/\/bedrecybersikkerhed.dk\/index.php\/2025\/09\/01\/cpr-sagen-et-symptom-paa-danmarks-digitale-saarbarhed\/","title":{"rendered":"CPR-sagen: Et symptom p\u00e5 Danmarks digitale s\u00e5rbarhed"},"content":{"rendered":"<p>Da nyheden om CPR-sagen ramte medierne, blev den hurtigt reduceret til endnu en historie om \u201dpersondata p\u00e5 afveje\u201d. Men bag den konkrete sag gemmer sig langt mere alvorlige sp\u00f8rgsm\u00e5l om Danmarks evne til at beskytte borgernes mest f\u00f8lsomme oplysninger \u2013 og om, hvorvidt vi egentlig har styr p\u00e5 de systemer, der udg\u00f8r fundamentet for vores digitale samfund.<\/p>\n<h4>Faktaboks: CPR-sagen kort fortalt<\/h4>\n\n<style>.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{display:flex;}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{padding-right:var(--global-kb-spacing-xs, 1rem);padding-left:var(--global-kb-spacing-xs, 1rem);}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{border-top:2px solid var(--global-palette5, #4A5568);border-right:2px solid var(--global-palette5, #4A5568);border-bottom:2px solid var(--global-palette5, #4A5568);border-left:2px solid var(--global-palette5, #4A5568);}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col,.kadence-column2280_a2aff9-9e > .kt-inside-inner-col:before{border-top-left-radius:0px;border-top-right-radius:0px;border-bottom-right-radius:0px;border-bottom-left-radius:0px;}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{row-gap:var(--global-kb-gap-none, 0rem );column-gap:var(--global-kb-gap-sm, 1rem);}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{flex-direction:column;justify-content:flex-start;}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col > .aligncenter{width:100%;}.kt-row-column-wrap > .kadence-column2280_a2aff9-9e{align-self:flex-start;}.kt-inner-column-height-full:not(.kt-has-1-columns) > .wp-block-kadence-column.kadence-column2280_a2aff9-9e{align-self:auto;}.kt-inner-column-height-full:not(.kt-has-1-columns) > .wp-block-kadence-column.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{flex-direction:column;justify-content:flex-start;}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{background-color:#cccccc;}.kadence-column2280_a2aff9-9e > .kt-inside-inner-col:before{opacity:0.3;}.kadence-column2280_a2aff9-9e{position:relative;}@media all and (max-width: 1024px){.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{border-top:2px solid var(--global-palette5, #4A5568);border-right:2px solid var(--global-palette5, #4A5568);border-bottom:2px solid var(--global-palette5, #4A5568);border-left:2px solid var(--global-palette5, #4A5568);flex-direction:column;justify-content:flex-start;}}@media all and (max-width: 1024px){.kt-row-column-wrap > .kadence-column2280_a2aff9-9e{align-self:flex-start;}}@media all and (max-width: 1024px){.kt-inner-column-height-full:not(.kt-has-1-columns) > .wp-block-kadence-column.kadence-column2280_a2aff9-9e{align-self:auto;}}@media all and (max-width: 1024px){.kt-inner-column-height-full:not(.kt-has-1-columns) > .wp-block-kadence-column.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{flex-direction:column;justify-content:flex-start;}}@media all and (max-width: 767px){.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{border-top:2px solid var(--global-palette5, #4A5568);border-right:2px solid var(--global-palette5, #4A5568);border-bottom:2px solid var(--global-palette5, #4A5568);border-left:2px solid var(--global-palette5, #4A5568);flex-direction:column;justify-content:flex-start;}.kt-row-column-wrap > .kadence-column2280_a2aff9-9e{align-self:flex-start;}.kt-inner-column-height-full:not(.kt-has-1-columns) > .wp-block-kadence-column.kadence-column2280_a2aff9-9e{align-self:auto;}.kt-inner-column-height-full:not(.kt-has-1-columns) > .wp-block-kadence-column.kadence-column2280_a2aff9-9e > .kt-inside-inner-col{flex-direction:column;justify-content:flex-start;}}<\/style>\n<div class=\"wp-block-kadence-column kadence-column2280_a2aff9-9e\"><div class=\"kt-inside-inner-col\">\n<p><strong>Hvad er CPR-sagen?<\/strong><\/p>\n<ul>\n<li>\n<p>CPR-registret indeholder oplysninger om alle danskere \u2013 navn, adresse, personnummer, statsborgerskab, v\u00e6rgem\u00e5l m.m.<\/p>\n<\/li>\n<li>\n<p>I flere \u00e5r er oplysninger blevet delt og udleveret p\u00e5 m\u00e5der, der ikke levede op til g\u00e6ldende sikkerhedsstandarder.<\/p>\n<\/li>\n<li>\n<p>Mange akt\u00f8rer (offentlige og private) fik adgang til langt flere oplysninger end n\u00f8dvendigt, og data blev i nogle tilf\u00e6lde opbevaret i usikrede systemer.<\/p>\n<\/li>\n<\/ul>\n<p><strong>Hvorn\u00e5r gik det galt? \u2013 Tidslinje<\/strong><\/p>\n<ul>\n<li>\n<p>2015\u20132020: Flere it-systemer fik bulk-adgang til CPR-data uden systematisk sikkerhedsgodkendelse.<\/p>\n<\/li>\n<li>\n<p>2020\u20132022: Datatilsynet og revisioner peger p\u00e5 manglende kontrol og utilstr\u00e6kkelig logging, men der sker ikke tilstr\u00e6kkelig opf\u00f8lgning.<\/p>\n<\/li>\n<li>\n<p>2023: Medierne afsl\u00f8rer, at oplysninger om borgere med navne- og adressebeskyttelse (fx voldsramte, personer i vidnebeskyttelse) er blevet tilg\u00e6ngelige via uautoriserede akt\u00f8rer.<\/p>\n<\/li>\n<li>\n<p>2024: Datatilsynet indleder en sag mod CPR-kontoret og kritiserer \u201dsystematiske brud p\u00e5 persondatasikkerheden\u201d.<\/p>\n<\/li>\n<li>\n<p>2025: CPR-sagen n\u00e5r fuldt til offentligheden \u2013 og viser, at kompromitteringer og misbrug af CPR-data har st\u00e5et p\u00e5 i \u00e5revis uden tilstr\u00e6kkelig politisk handling.<\/p>\n<\/li>\n<\/ul>\n<p><strong>Konsekvenser for borgerne<\/strong><\/p>\n<ul>\n<li>\n<p>Udsatte borgere fik afsl\u00f8ret oplysninger om deres opholdssted \u2013 med direkte risiko for sikkerheden.<\/p>\n<\/li>\n<li>\n<p>Flere oplevede misbrug af identitet: l\u00e5n, abonnementer og handel i deres navn.<\/p>\n<\/li>\n<li>\n<p>Mange borgere mistede tilliden til, at staten kan beskytte deres mest f\u00f8lsomme oplysninger.<\/p>\n<\/li>\n<\/ul>\n<p><strong>Hvorfor er det vigtigt?<\/strong><\/p>\n<ul>\n<li>\n<p>CPR-registeret er grundlaget for stort set alle digitale l\u00f8sninger i Danmark.<\/p>\n<\/li>\n<li>\n<p>N\u00e5r det kompromitteres, undermineres b\u00e5de privatliv, sikkerhed og tilliden til hele det digitale samfund.<\/p>\n<\/li>\n<\/ul>\n<\/div><\/div>\n\n\n<h4>Hvad gik galt?<\/h4>\n<p>Tre forhold springer i \u00f8jnene:<\/p>\n<ol>\n<li>\n<p>Over-udlevering af data: I stedet for at levere pr\u00e6cist de data, der var n\u00f8dvendige til et givet form\u00e5l, fik eksterne akt\u00f8rer adgang til hele datas\u00e6t. Fx hvor der kun var brug for adresseoplysninger, men hvor der samtidig fulgte informationer om v\u00e6rgem\u00e5l, tidligere adresser eller statsborgerskab med.<\/p>\n<\/li>\n<li>\n<p>Manglende kontrol med databehandlere: N\u00e5r CPR-data f\u00f8rst var udleveret, var der i praksis ingen kontrol med, hvordan de blev lagret, beskyttet eller videreanvendt. Det bet\u00f8d, at data i nogle tilf\u00e6lde endte i systemer med langt lavere sikkerhedsniveau end CPR-registerets eget.<\/p>\n<\/li>\n<li>\n<p>Mangelfuld logging og sporbarhed: Det var ikke muligt at dokumentere pr\u00e6cist, hvem der havde haft adgang til hvilke data og hvorn\u00e5r. Dermed blev det n\u00e6sten umuligt at placere ansvar, n\u00e5r data blev misbrugt eller h\u00e5ndteret forkert.<\/p>\n<\/li>\n<\/ol>\n<h4>Hvad bet\u00f8d det for de ramte?<\/h4>\n<p>Konsekvenserne var vidtr\u00e6kkende:<\/p>\n<ul>\n<li>\n<p>Udsatte borgere blev kompromitteret: I flere tilf\u00e6lde kom oplysninger om personer med navne- og adressebeskyttelse til at cirkulere hos akt\u00f8rer, der ikke burde have adgang til dem. For kvinder p\u00e5 krisecentre, personer i vidnebeskyttelse eller borgere med trusselsbilleder bet\u00f8d det en direkte risiko for deres sikkerhed.<\/p>\n<\/li>\n<li>\n<p>\u00d8get risiko for identitetstyveri: N\u00e5r personnummer, navn og adresse er frit tilg\u00e6ngelige i kombination, er det en gave til kriminelle, der kan misbruge oplysningerne til at oprette l\u00e5n, mobilabonnementer eller k\u00f8be varer i andres navn. Flere borgere oplevede netop dette efter CPR-sagen.<\/p>\n<\/li>\n<li>\n<p>Tab af tillid til systemet: Mange borgere f\u00f8lte sig magtesl\u00f8se, fordi de ikke havde indflydelse p\u00e5, hvem der havde adgang til deres oplysninger. Mistilliden til det digitale Danmark voksede, og flere begyndte at stille sp\u00f8rgsm\u00e5l ved, om man overhovedet kan stole p\u00e5 offentlige digitale l\u00f8sninger.<\/p>\n<\/li>\n<li>\n<p>\u00d8konomiske og psykiske f\u00f8lger: For de borgere, der oplevede misbrug, fulgte ofte et langt forl\u00f8b med at rydde op i \u00f8konomiske forhold, politianmeldelser, dialog med banker og kreditorer. For andre var det psykiske pres st\u00f8rst: frygten for, at deres adresse eller identitet kunne blive brugt imod dem.<\/p>\n<\/li>\n<\/ul>\n<h4>Cybersikkerhedsperspektivet<\/h4>\n<p>Set gennem en cybersikkerhedslinse er CPR-sagen ikke en enlig svale, men et symptom p\u00e5 tre dybere problemer i Danmark:<\/p>\n<ul>\n<li>\n<p>Manglende helhedssyn: Vi har ingen samlet myndighed med ansvar for at beskytte borgernes data p\u00e5 tv\u00e6rs af den offentlige sektor.<\/p>\n<\/li>\n<li>\n<p>Reaktiv frem for proaktiv sikkerhed: Fejl opdages f\u00f8rst, n\u00e5r de er blevet til sager i medierne. Der mangler systematisk l\u00e6ring, penetrationstests og uafh\u00e6ngigt tilsyn.<\/p>\n<\/li>\n<li>\n<p>For\u00e6ldet sikkerhedslogik: At samle alt om hele befolkningen \u00e9t sted kan v\u00e6re effektivt for administrationen, men det er ogs\u00e5 en gave til hackere. Jo st\u00f8rre \u201ddatabank\u201d, desto st\u00f8rre konsekvenser, hvis den kompromitteres \u2013 og med fremkomsten af AI-st\u00f8ttet hacking og kommende kvantecomputere er risikoen voksende.<\/p>\n<\/li>\n<\/ul>\n<h4>Hvad b\u00f8r g\u00f8res?<\/h4>\n<ol>\n<li>\n<p>Styrket governance: CPR-registeret b\u00f8r underl\u00e6gges en klar myndighed med ansvar for b\u00e5de drift, sikkerhed og databeskyttelse \u2013 ikke blot spredt mellem ministerier.<\/p>\n<\/li>\n<li>\n<p>Dataminimering: Offentlige og private akt\u00f8rer b\u00f8r kun have adgang til de data, de faktisk har brug for \u2013 og kun i den periode, det er n\u00f8dvendigt.<\/p>\n<\/li>\n<li>\n<p>Systematisk sikkerhedstest: Penetrationstest, red teaming og uafh\u00e6ngige audits skal v\u00e6re obligatoriske for alle systemer, der bruger CPR-data.<\/p>\n<\/li>\n<li>\n<p>Bedre tilsyn: Tilsynsorganer skal have b\u00e5de ressourcer og bef\u00f8jelser til at gribe ind, f\u00f8r fejl udvikler sig til skandaler.<\/p>\n<\/li>\n<li>\n<p>Transparens: Borgerne skal kunne f\u00e5 indsigt i, hvem der tilg\u00e5r deres data, og hvorfor.<\/p>\n<\/li>\n<\/ol>\n<h4>Konklusion<\/h4>\n<p>CPR-sagen er ikke bare en teknisk fejl \u2013 det er et wake-up call. N\u00e5r staten indsamler og opbevarer data om hele befolkningen, f\u00f8lger der et enormt ansvar. At svigte dette ansvar er ikke blot et problem for de ramte borgere, men en trussel mod tilliden til hele det digitale samfund.<\/p>\n<p>Hvis vi skal bevare Danmark som et digitalt foregangsland, m\u00e5 vi begynde at t\u00e6nke cybersikkerhed som et grundvilk\u00e5r \u2013 ikke som en eftertanke.<\/p>\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Da nyheden om CPR-sagen ramte medierne, blev den hurtigt reduceret til endnu en historie om \u201dpersondata p\u00e5 afveje\u201d. Men bag den konkrete sag gemmer sig&#8230;<\/p>\n","protected":false},"author":3,"featured_media":2287,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kadence_starter_templates_imported_post":false,"_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","footnotes":""},"categories":[18],"tags":[],"ppma_author":[13],"class_list":["post-2280","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kommentar"],"authors":[{"term_id":13,"user_id":3,"is_guest":0,"slug":"john-foley","display_name":"John Foley","avatar_url":{"url":"https:\/\/bedrecybersikkerhed.dk\/wp-content\/uploads\/2025\/01\/johnfoleybyline.jpg","url2x":"https:\/\/bedrecybersikkerhed.dk\/wp-content\/uploads\/2025\/01\/johnfoleybyline.jpg"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/comments?post=2280"}],"version-history":[{"count":4,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2280\/revisions"}],"predecessor-version":[{"id":2286,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/posts\/2280\/revisions\/2286"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/media\/2287"}],"wp:attachment":[{"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/media?parent=2280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/categories?post=2280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/tags?post=2280"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/bedrecybersikkerhed.dk\/index.php\/wp-json\/wp\/v2\/ppma_author?post=2280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}