B 100 - 2012-13 - Endeligt svar på spørgsmål 6: Spm. om, hvilke regler der gælder for den offentlige forvaltnings brug af de ansattes cpr-numre til intern personaleidentifikation, til økonomi- og indenrigsministeren

FolketingetsRetsudvalg har d.28. august 2013 stillet følgende spørgsmål nr. 6(B100)til økonomi- og indenrigsministeren, som hermed besvares. Spørgsmålet er stilletefter ønske fra Peter Skaarup (DF).Spørgsmålnr. 6:Vil ministeren redegøre for, hvilke regler der gælder for den offentlige forvaltnings brugaf de ansattes cpr-numre til intern personaleidentifikation? Er det for eksempel i over-ensstemmelse med reglerne, at en offentlig myndighed benytter cpr-nummeret sompersonale ID, fx hvor cpr-nummeret er angivet under betegnelsen ”sagsnummer”, iforbindelse med medarbejderes ansættelsespapirer, der bl.a. distribueres internt til foreksempel tillidsrepræsentanterne? Er det desuden efter reglerne, hvis man i den of-fentlige forvaltning for eksempel lader cpr-numre optræder på interne kursustilmel-dingslister, idet cpr-numrene også her anvendes som personale-ID? Hvis dette erefter reglerne, er ministeren da ikke bekymret for, at det er med til gradvist at udvandecpr-nummeret, så det ikke kan benyttes til sikker personidentifikation.Svar:I anledning af spørgsmålet er der indhentet en udtalelse fra Datatilsynet, som admini-strerer persondataloven (lov nr. 429 af 31. maj 2000 om behandling af personoplys-ninger med senere ændringer).Datatilsynet har oplyst følgende:”I forhold til offentlige myndigheder gælder persondataloven først og fremmest forbehandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektro-nisk databehandling, jf. persondatalovens § 1, stk. 1.Offentlige myndigheder må registrere og bruge oplysninger om personnummer somjournalnummer eller med henblik på entydig identifikation, jf. persondatalovens § 11,stk. 1.Offentlige myndigheders anvendelse personnumre skal desuden leve op til en rækkegrundlæggende principper i persondataloven, jf. persondatalovens § 5.Herudover er fastsat en række særregler i CPR-loven, jf. kapitel 13 i CPR-loven (lov-bekendtgørelse nr. 5 af 9. januar 2013).Persondatalovens sikkerhedskrav, jf. persondatalovens § 41, stk. 3, og principperne isikkerhedsbekendtgørelsen(bekendtgørelse nr. 528 af 15. juni 2000 med senere æn-dringer) indebærer bl.a., at offentlige myndigheder skal beskytte de personoplysnin-

ger, som de håndterer, med de fornødne sikkerhedsforanstaltninger mod, at oplysnin-ger kommer til uvedkommendes kendskab.Herudover indeholder CPR-loven regler om, at offentlige myndigheder har pligt til atsikre, at personnumre ikke kommer uvedkommende i hænde, jf. CPR-lovens § 54.Hvorvidt en given brug af personnumre hos en myndighed er lovlig, beror på en kon-kret vurdering i forhold til de nævnte regler.Efter Datatilsynets umiddelbare vurdering vil det være i orden, at en offentlig myndig-hed udarbejder en kursusliste med personnumre til brug for den interne administrationaf tilmeldingerne, men det vil ikke være i overensstemmelse med persondataloven atudlevere en kursustilmeldingsliste med kursisternes personnumre til de øvrige kursi-ster.I forhold til udlevering af ansættelsespapirer med personnumre til en tillidsrepræsen-tant lægger Datatilsynet umiddelbart til grund, at en tillidsrepræsentant ikke har behovfor personnumre på nyansatte medarbejdere. På den baggrund vil detsom udgangs-punkt ikke være foreneligt med persondataloven, at en offentlig myndighed udlevereroplysninger om personnumre til tillidsrepræsentanten.”Jeg finder ikke, at formålet med personnummeret som entydig identifikation udvandesaf de gældende regler.