Både offentlige og private it-ansvarlige gruer for, at sikkerhedstjek på CPR-numre i it-systemer vil dukke op i utide som skeletter i skabet.
For det nuværende CPR-tjek er på vej ud. På et endnu ukendt tidspunkt vil der blive udstedt CPR-numre, der ikke vil kunne bestå det traditionelle tjek for validitet, den såkaldte modulus 11-kontrol.
CPR-tjekket er indbygget i rigtig mange it-systemer. Det findes for eksempel i it-systemer ude i kommunerne, på skoler og sygehuse, i banker, sparekasser, forsikringsselskaber og alle mulige andre steder, hvor det kan tænkes, at personer er registreret på personnummer.
Mange steder er tjekket indbygget i it-systemerne på centralt sted, så der kun skal ændres i koden ét sted, og så slår det igennem rundt omkring i landet, hvor systemet bliver brugt. Det vil være til at overskue for de fleste.
Problemets omgfang ukendt
Men der er også decentrale systemer, som benytter kontrollen, og her kender de færreste til problemets omfang.
Sådan lyder meldingen fra KMD, der står bag mange af de kommunale systemer, og fra nogle af de større finansielle virksomheder i Danmark.
- Jeg kan godt have en frygt for, at det er omfattende. Nogle programmører har det med at indbygge deres egne kontroller, siger Kjeld Christensen, analytiker i Nordeas User Productivity-afdeling.
Blandt dem, Computerworld har talt med, er KMD længst fremme. Inden januar 2006 vil der ligge en handlingsplan klar på, hvordan KMD løser problemstillingen.
Både Nordea og Jyske Bank er på det hold, der afventer situationen. Der er imidlertid heller ingen grund til hastværk, oplyser CPR-kontoret.
- Vi forventer, at der nu går mellem tre og fem år, før vi bliver nødt til at udstede det første CPR-nummer, der ikke opfylder modulus 11-kontrol, siger konsulent Jørgen Østrup Møller fra CPR-kontoret.
Populære fødselsdatoer
Baggrunden for at der overhovedet er behov for at afvige fra mange års tradition for modulus 11-kontrollen, skyldes ikke, at der mangler numre til de nyfødte.
I stedet er det personnumre med datoer fra 1950'erne og 1960'erne, der giver problemer.
Med modulus 11-kontrollen kan man via en matematisk formel fange de mest banale forsøg på at opdigte personnumre samt tastefejl - man kan dog ikke checke, om nummeret rent faktisk eksisterer.
Men samtidig betyder kontrollen, at antallet af CPR-numre til rådighed per dag reduceres til i alt 540, 270 til mænd og 270 til kvinder.
Det er den grænse, der er ved at være nået for visse datoer, som ligger mange år tilbage.
- Der er en række datoer, der af forskellige årsager er mere brugte end andre, siger konsulent Jørgen Østrup Møller fra CPR-kontoret.
For eksempel den 1. januar 1950, der ifølge CPR-kontoret er en af de mest pressede fødselsdage for udstedelse af nye personnumre.
Årsagen er blandt andet, at nogle indvandrere ikke har kendt deres præcise fødselsdato, og så har der været praksis for at bruge den 1. januar i et år eller den første i en måned.
Der er angiveligt også kulturer, hvor man selv har kunnet vælge dato. Og så er nogle datoer åbenbart mere populære end andre.
Skal bare virke
Ifølge CPR-kontoret har man gjort et stykke arbejde for at ændre praksis, så der i det omfang, det var muligt, blev valgt fødselsdage spredt over hele året, når den ikke var givet. Men det er ikke nok.
Der vil inden for en overskuelig årrække på visse datoer blive brug for enkelte nye personnumre, der ikke opfylder modulus 11-kontrollen.
Det kan være til en indvandrer. Eller det kan være til en udenlandsk statsborger, der af den ene eller anden grund er skattepligtig i Danmark eller skal betale ATP.
For eksempel en 55-årig tysk statsborger, der om et par år køber sommerhus i Danmark, og som tilfældigvis fylder 56 den førstkommende 1. januar.
Selvom sandsynligheden måske ikke er stor for, at lige netop han bliver kunde i lige præcis Jyske Bank eller en anden bank, realkredit eller andet, så er svaret enslydende alle steder.
- Det skal bare virke, den dag det første CPR-nummer, der ikke opfylder kontrollen, bliver udstedt, siger afdelingsdirektør Mogens Sørensen, fra afdelingen Basissystemer i Jyske Bank.
CPR-kontoret gik i januar ud og lavede en informationsindsats på at forberede it-ansvarlige på problemstillingen.
En alarm i myndighederne systemer vil gøre opmærksom på, når der til en given dato er under seks til otte tilgængelige personnumre.
Til den tid trækker det for alvor op til fri jagt på indbyggede modulus 11-kontroller, der kan gå hen og blive skeletter rundt i it-systemerne i det ganske land.
Relevant link:
Modulus 11-kontrollen: http://www.cpr.dk/Index/dokumenter.asp?o=11&n=0&h=11&t=1&d=396&s=4
