Høringssvar vedr. ændring af CPR-loven (indsættelse af markering i CPR med advarsel mod kreditgivning)
Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/59648
IT-Politisk Forening har forståelse for, at Social- og Indenrigsministeriet ønsker at hjælpe de mange borgere, som hvert år udsættes for problemer som følge af identitetstyveri og andre situationer med identitetsmisbrug, hvor der eksempelvis uberettiget optages lån i deres navn.
Men vi mener, at lovforslaget grundlæggende er den forkerte måde at hjælpe borgerne på. Vi synes generelt ikke at staten skal udstille oplysninger om borgerne ved at sælge data fra offentlige systemer som CPR-registeret. Det gælder i særdeleshed i dette tilfælde, hvor der reelt vil være tale om stærkt følsomme oplysninger om at borgeren har været udsat for kriminalitet eller befinder sig i en svær økonomisk situation. Selv om den præcise grund til registreringen ikke vil kunne udledes af CPR-registeret, vil alle rimelige grunde til registrering dække over at, borgeren befinder sig i en udsat situation. Sådanne oplysninger skal ikke udstilles generelt for andre, men det er netop hvad dette lovforslag indebærer.
Hvis regeringen ønsker at beskytte borgerne mod de problemer som uberettiget låneoptagelse via identitetsmisbrug skaber, vil vi anbefale at kravene til kreditgivernes kontrol skærpes, og at borgerne i højere grad beskyttes mod inddrivelse af gæld via inkasso eller domstolene, hvis disse krav ikke er iagttaget fra kreditgivernes side. Sådanne forslag ligger naturligvis uden for Social- og Indenrigsministeriets område, og vi nævner dem blot løseligt som mulige alternativer.
I dets nuværende form er lovforslaget efter vores opfattelse forhastet og bør ikke gennemføres. Der er behov for et grundigere forarbejde og analyse af hvilke problemer man søger at løse, og hvordan dette bedst gøres uden utilsigtede negative konsekvenser for bl.a. borgernes privatliv.
Den resterende del af dette høringssvar indeholder konkrete, begrundede forslag til ændringer af lovforslaget.
Adgangen til oplysningerne i CPR-registeret om advarselsmarkering bør begrænses
Lovforslaget indebærer at borgeren i CPR-registeret kan få indført en markering med ”advarsel” mod kreditgivning i vedkommende navn. Denne oplysning vil CPR-kontoret stille til rådighed for private virksomheder på generel (”bulk”) basis efter CPR-lovens § 38 i lighed med for eksempel oplysning om markedsføringsbeskyttelse. Det nævnes i bemærkningerne til lovforslaget, at denne oplysning senere kan blive stillet til rådighed for private virksomheder via den såkaldte datafordeler, hvilket formentlig yderligere vil øge adgangen til disse oplysninger om borgerne (til skade for borgernes grundlæggende ret til privatliv).
IT-Politisk Forening finder det stærkt betænkeligt, at specielt denne nye oplysning med advarsel mod kreditgivning stilles til rådighed for en bred kreds af virksomheder i lighed med det mere neutrale ønske om beskyttelse mod markedsføring. Selv om den konkrete årsag til registrering af en advarsel mod kreditgivning ikke vil fremgå af CPR-registeret, vil alle rimelige årsager dække over at borgeren befinder sig i en udsat situation, for eksempel offer for kriminalitet eller alvorlige økonomiske problemer. Den type information skal ikke udstilles bredt, men det er netop hvad lovforslaget indebærer.
Lovforslaget sætter endvidere ikke nogle konkrete begrænsninger for hvad virksomheder, der køber oplysninger om borgernes private forhold fra CPR-kontoret, kan bruge denne advarselsregistrering til. Den mest oplagte anvendelse er naturligvis kreditvurdering, men det kræver ikke meget fantasi at forestille sig andre anvendelser, specielt ikke når oplysningerne kan være tilgængelig på ”bulk” basis om en større gruppe borgere for danske og udenlandske virksomheder. Sådanne andre anvendelser kunne være målrettet markedsføring rettet mod borgere, som har været udsat for identitetstyveri.
Persondataloven sætter selvfølgelig visse begrænsninger, men vi mener ikke at det er tilstrækkeligt, især ikke fordi videregivelsen fra CPR-kontoret sker uden informeret samtykke fra borgeren. Lovforslaget bør fastsætte en specifik formålsbegrænsning til kreditvurdering uden nogle undtagelser (for eksempel persondatalovens princip om ”berettiget interesse” som retsligt grundlag for behandling af personoplysninger, der ofte fortolkes meget bredt) for den nye advarselsregistering.
Hvis der i CPR-registeret skal være mulighed for at registrere en advarsel mod kreditgivning, vil IT-Politisk Forening anbefale disse ændringer af lovforslaget:
- Oplysningerne kan kun udleveres fra CPR-kontoret om en konkret borger i forbindelse med en konkret kreditvurdering.
- Der skal under ingen omstændigheder være mulighed for ”bulk” videregivelse som i CPR-lovens
§ 38, heller ikke via den kommende ”datafordeler” som omtales i lovforslaget. - Hvis virksomhedens adgang til CPR-oplysningerne sker elektronisk (jf. CPR-lovens § 39) skal der være passende tekniske begrænsninger mod at virksomhederne indhenter oplysninger om en større kreds af personer. En anden mulighed for at begrænse adgangen er et passende (højt) gebyr per oplysning, som efterspørges manuelt eller elektronisk.
- Borgeren skal underrettes per brev (eller Offentlig Digital Post, hvis dette ikke er fravalgt), når en virksomhed anmoder om oplysninger om eventuel advarselsregistrering hos CPR-kontoret. Udsendelse af dette brev kan finansieres af det gebyr, som vi foreslår opkrævet hos kreditgiverne for at begrænse adgangen til, og det potentielle misbrug af, oplysningerne om advarsel mod kreditgivning.
- Virksomheden må kun bruge den eventuelle oplysning om advarselsregistrering i den konkrete kreditvurdering (formålsbegrænsning). Når der er truffet beslutning om tilsagn eller afvisning af kreditgivning, skal oplysningen slettes.
Disse ændringer vil bidrage til at sikre, at adgangen til oplysningerne i CPR-registeret begrænses til det som er strengt nødvendigt for at kreditgivere kan bruge den eventuelle advarselsmarkering til at modvirke identitetsmisbrug i forbindelse med låneoptagelse.
Underretning til borgeren, når der er forespørgsel på en eventuel advarselsmarkering om borgeren, tjener to væsentlige formål. For det første bidrager det til at sikre mod misbrug af oplysningerne til andre formål end kreditgivning. For det andet kan det fortælle borgeren, at nogen prøver at misbruge vedkommendes CPR-nummer til låneoptagelse (hvis borgeren ikke selv står bag låneanmodningen).
Præcisering af at ordningen er reelt frivillig for borgerne uden pres (herunder indirekte pres)
Derudover vil IT-Politisk Forening anbefale, at det i lovforslagets bemærkninger fremhæves, at det er fuldstændigt frivilligt for borgerne, om de ønsker at benytte sig af denne mulighed for advarselsregistrering, og især at det aldrig må kunne have negative konsekvenser for borgeren i form af øget risiko for hæftelse for gæld som andre har optaget ved identitetsmisbrug, hvis borgeren ikke ønsker at benytte sig af tilbuddet om at få indført en advarselsregistrering i CPR-registreret.
Vi forventer at dette er Social- og Indenrigsministeriets hensigt, men vi synes ikke, at denne hensigt fremgår tilstrækkeligt præcist af de nuværende bemærkninger. Vi er særligt bekymret for denne formulering i bemærkningerne:
Yder en virksomhed lån eller kredit uden at tilgå en registreret markering i CPR om, at en borger ønsker at advare mod kreditgivning i vedkommendes navn, eller uden at tillægge en sådan oplysning betydning, vil dette kunne indgå som et moment ved den efterfølgende vurdering af, om virksomheden har udvist den fornødne agtpågivenhed i forbindelse med at sikre sig identiteten på den person, som virksomheden har indgået en låne- eller kreditaftale med f.eks. i forbindelse med, at en borger over for virksomheden påberåber sig at have været udsat for identitetsmisbrug.
Vi frygter at denne formulering af domstolene kan blive fortolket derhen, at en kreditgivers krav mod en borger om et gældsforhold styrkes, hvis kreditgiveren har undersøgt om der var en advarselsregistrering vedr. borgeren i CPR-registeret og konstateret at det ikke var tilfældet. I så fald vil det reelt ikke længere være frivilligt for borgeren, om vedkommende ønsker at få foretaget en advarselsregistrering efter eksempelvis tyveri af et sundhedskort.
IT-Politisk Forening vil anbefale, at det i bemærkningerne udtrykkeligt præciseres, at en manglende registrering om advarsel mod kreditgivning aldrig vil kunne komme borgeren til skade, herunder i en retslig vurdering af om et gældsforhold reelt består eller om gældsforholdet er optaget af andre ved identitetsmisbrug.
Det forhold at en kreditgiver checker for eventuelle advarselsregistreringer i CPR-registeret må ikke på nogen måde kunne erstatte den kontrol og agtpågivenhed, som en kreditgiver bør udføre for at sikre mod identitetsmisbrug (og naturligvis muligheden for at kreditgiveren senere kan inddrive fordringen med retssystemets hjælp, hvis debitor ikke betaler).