Hvem må bede om dit cpr-nummer?

22. maj 2014

Skal man udlevere sit cpr-nummer, når man opretter et fitnessabonnement? Hvad siger reglerne? Hvordan er du stillet ved misbrug af dit cpr-nummer?

Forbrugerrådet Tænk får løbende henvendelser fra forbrugere, der er blevet bedt om at aflevere deres cpr-nummer.

Én skulle oplyse det i fitnesscenteret, en anden fik en mail fra sin pensionskasse med det i emnefeltet. Senere fik samme person en mail fra sin fagforening med sit cpr-nummer i titlen på en vedhæftet fil.

”Det er et stort problem, når et cpr-nummer bliver behandlet så lemfældigt. For nummeret giver adgang til en række muligheder - og derfor også snyd og bedrag - hvis det falder i de forkerte hænder,” siger Anette Høyrup, seniorjurist i Forbrugerrådet Tænk.

Du er dårligt stillet ved cpr-misbrug

”Generelt er der for lidt viden om, hvor galt det kan gå, hvis en svindler først får fat i cpr-nummer, og for lidt viden blandt de erhvervsdrivende om, hvornår man må opkræve det, og hvornår man ikke må. Desværre er det nærmest blevet almindeligt ’for en sikkerhed skyld’ at bede om kundernes cpr-nummer,” siger Anette Høyrup.

Som forbruger er man desværre dårligt stillet, hvis man får sit cpr-nummer misbrugt, for man kan ikke bare spærre nummeret på samme måde, som man kan med et stjålet dankort.

Hvis man får misbrugt sit dankort, hæfter banken typisk for det beløb, der er blevet svindlet for. Det bøvl og besvær og eventuelle tab af penge, man lider ved identitetstyveri, når en anden benytter personnummeret, er derimod ens egen risiko.

Hvad siger reglerne?

Som hovedregel må man ikke bede om cpr-nummer, når der er tale om et kontantkøb, og man må heller ikke bede om personlige oplysninger (som fx kontonummer), medmindre det sker til udtrykkeligt angivne og saglige formål.

Datatilsynet anbefaler kryptering, når man sender følsomme oplysninger og cpr-nummer via mail. Derimod kræves kryptering, når det gælder overførsel af følsomme oplysninger og cpr-nummer via hjemmesider.

Virksomhederne må ikke opkræve flere personlige oplysninger, end der er behov for. Det vil sige, hvis forbrugerens identitet kan fastslås udelukkende ved at bede om fødselsdato, navn og adresse, må virksomheden ikke kræve, at man udleverer sit cpr-nummer.

”Der er en grund til, at vi kalder cpr-nummeret for et ’personnummer’. Det er strengt personligt og giver adgang til at manipulere, ændre og snyde på rigtigt mange forskellige områder. Forbrugerne ville derfor slippe for en masse problemer, hvis virksomhederne satte sig ind i disse regler - og efterlevede dem,” siger Anette Høyrup.

Særligt for fitness-centrene

I 2010 anmeldte Forbrugerrådet Tænk sagen til Datatilsynet, der i sommeren 2012 så kom med en afgørelse: Det er i orden, at fitness-centre beder om cpr-numre.

Dels fordi fitnesscentrene skal kunne udelukke bestemte kunder, og dels fordi de indgår løbende betalingsaftaler med dem.

De løbende betalingsaftaler betyder nemlig, at centrene skal kunne komme efter kunder, der ikke betaler deres regninger.

Eksempler på cpr-misbrug

  • Fået flyttet adresse og læge
  • Er blevet oprettet i RKI pga. svindlerens adfærd
  • Fået hævet penge på deres konto og oprettet andre konti
  • Fået oprettet mobilabonnementer
  • Fået oprettet benzinkort
  • Fået oprettet sponsorbørn i udlandet
  • Fået oprettet videoudlejningskort
  • Er blevet meldt ind i et politisk parti
  • Fået oprettet fiktive salgsannoncer i Den Blå Avis og har efterfølgende fået henvendelse fra sure købere, der har indbetalt penge på svindlerens konto, men ikke modtaget nogen vare.
Lukket indhold: 
ikke sat