Nettstedet Iam.no har fått svært mye kritikk de siste ukene etter at tjenesten åpnet med mer informasjon samlet om deg på ett sted enn noe annen personopplysningstjeneste på nett.

Les også:

Etter at nettstedet åpnet har det blitt endret en rekke ganger, men koblingen av skatteinformasjon, nummeropplysninger, adresse, sosiale nettsteder og Google-søk gjør at tjenesten fortsatt gir mer informasjon samlet på ett sted om privatpersoner enn de fleste andre tjenester.

Samtidig kvalitetssikres ikke informasjonen, noe som gjør at de som har et «vanlig» navn lett kobles med informasjon om feil personer.

Skiller seg primært ut på én måte
Men om en skjærer all kritikken ned til beinet så er det primært én måte nettstedet skiller seg ut fra andre nummeropplysningstjenester, nemlig det faktum at tjenesten opplyser fødselsdato.

Dette høres kanskje relativt uskyldig ut, men Nettavisen har vært i kontakt med en ekspert, som foretrekker å være anonym, som forteller at fødselsdato og kjønn er alt en trenger for å enkelt finne det komplette fødselsnummeret.

Fødselsnummer er ikke formelt ansett som en hemmelig personopplysning, men kan likevel brukes til identitetstyveri fordi det misbrukes i en rekke sammenhenger.

Nettavisen sitter med den nøyaktige fremgangsmåten for å finne personnummeret og misbruke dette til identitetstyveri, men vi vil med vilje ikke være detaljerte i den videre beskrivelsen.

- Tidligere brukte en gjerne skattelistene til Bergens Tidende til å hente ut fødselsdatoen til folk, men dette ble til slutt fjernet. Så dukket fødselsdatoen opp på Gule Sider, men de valgte til slutt å fjerne dette. Nå kan en enkelt hente det fra Iam, forteller eksperten til Nettavisen.

Langt fødselsnummer, men enkelt å finne
Det som på folkemunnet kalles personnummeret er et 11-sifret nummer som alle norske borgere har som egentlig heter fødselsnummeret. Fødselsnummeret består av 6 sifre som angir fødselsdato, og fem sifre som formelt er personnummeret.

Å gjette seg til et femsifret nummer er ingen enkel oppgave, men det er heller ikke nødvendig. Personnummeret har nemlig en svært slavisk oppbygning.

Et av de tre første sifrene angir om hvorvidt du er mann eller kvinne - og for de aller fleste nålevende norskfødte personer begynner personnummeret med tallene 0-5.

De to siste sifrene er såkalte kontrollsiffer, og regnes ut basert på de andre sifrene. Hvordan disse regnes ut er kjent informasjon, og det finnes egne nettsider som har som eneste funksjon å regne ut de to siste sifrene i personnummeret basert på de 9 første sifrene.

Det finnes også nettsider som lister opp alle gyldige personnummer på en hvilken som helst dato i historien.

Reelt nesten 210 muligheter
Med det som utgangspunkt så finnes det teoretisk 250 mulige gyldige personnummer per kjønn per fødselsdag (men i praksis rundt 210) - og en kan enkelt teste om et fødselsnummer er i bruk, og hvem det tilhører, på blant annet flere nettbutikker med dårlig sikkerhet.

- Med det som grunnlag er det en rundt 15 minutters jobb å sette seg ned med å prøve og feile på en nettside fram til du finner det faktiske personnummeret til personen du leter etter. I snitt trenger en å prøve drøyt 100 forsøk før du til slutt får bekreftet rett personnummer, forteller eksperten.

I den prosessen kan du komme over gyldige personnummer til flere andre som er født på samme dag.

Enkel vei videre til identitetstyveri
De siste årene har det blitt stadig færre ting en kan gjøre bare ved hjelp av et personnummer. Blant annet er det ikke lenger mulig å gjennomføre midlertidig adresseendring, som var en favoritt blant identitetstyver, eller å bytte fastlege.

Eksperten Nettavisen har snakket med forteller at det likevel er en enkel jobb å få tak i et av de viktigste dokumentene som kan benyttes til videre identitetstyveri bare ved hjelp av det komplette fødselsnummeret.

Og metodene identitetstyver kan bruke for å unngå eventuelle hindringer som legges i veien er både kreative og overraskende enkle.

- Kjente problemstillinger
Avdelingsdirektør Leif T. Aanensen i Datatilsynet forteller at problemstillingene er velkjent, og påpeker at det her er mange problemstillinger som faller sammen.

- Personnummeret bør være statens «kundenummer», men så har vi de siste 10 årene hatt en vesentlig utglidning på hvem som benytter personnummeret. Blant annet har banker, teleselskaper og kredittgivere benyttet dette i stadig større grad. Det betyr at stadig flere aktører enn tidligere håndterer fødselsnummeret, forteller Aanensen.

- Jeg kan jo blant annet nevne at den eneste grunnen til at banker fikk tilgang til personnummeret var fordi de skulle rapportere til myndighetene. Men så fant de ut at dette var et veldig fint nummer, og har brukt det i stadig større grad. Så nå er det slik at de heller spør om personnummer enn kundenummer når en ringer - eller skal logge seg inn på nettbanker, sier han.

Datatilsynet mener nå at en av de viktigste jobbene fremover er å sikre at færre aktører benytter seg av personnummeret.

- Dette er jo en statsautorisert kode som du lever med hele livet, og når det først legges til informasjon om personnummeret så kan det lett kobles til annen informasjon, påpeker han.

- Har hatt ryddeaksjon
Når det kommer til muligheten til å verifisere personnummer på nettbutikker, så forteller Aanensen at dette er noe tilsynet har jobbet med lenge.

- Vi har hatt en stor opprydningsaksjon helt siden 2006 der vi har forsøkt å fjerne disse mulighetene systematisk, men det ser ut som det fortsatt er igjen noen, sier Aanensen.

Han forteller at årsaken til at enkelte nettbutikker har muligheten til å verifisere personnummer er at de har lagt inn funksjonalitet som kobles rett opp mott kredittsjekkselskaper som igjen henter sine opplysninger fra folkeregisteret.

- Vi hadde noen større tilfeller av lignende saker for en stund tilbake, der det til slutt endte med bøter for det ene selskapet, sier Aanensen, som nå sier Datatilsynet skal følge opp nettbutikken som vi her snakker om.

Postkassene er problemet
Den siste delen av problemstillingen her er identitetstyvers mulighet til å få tilsendt nye dokumenter i posten.

Om en ikke klarer å få tilsendt dokumenter på en annen postadresse enn den en er registrert på, og en ikke får til en midlertidig adresseendring, er det en enkel sak å plukke opp viktige dokumenter i usikrede postkasser.

- En av de store svakhetene i samfunnet vårt er folks åpne postkasser. Eller, problemet er ikke de åpne postkassene, men at mange samfunnsaktører sender ut svært viktige dokumenter som ikke sikres, sier Aanensen.

Han ramser opp ting som pass, PIN-koder, selvangivelser, fødselsattester og andre former for offentlige brev.

- Dette vet ID-tyvene veldig godt om. De vet at postkasser er et nyttig sted å finne tilleggsinformasjon. Dette er et forhold som samfunnet bør ta konsekvensene av, og ta en skikkelig gjennomgang av hva som er egnet å sende i posten.

200-300 pass forsvinner hvert år
- Hvert år forsvinner det for eksempel 200-300 pass i postgangen. Men når vi påpeker dette så sier passmyndighetene at det er 15.000-20.000 pass som mistes hvert år, og at postgangen dermed er et forsvinnende lite problem totalt sett. Men det kan jo ikke være slik at alle må ta risikoen av at mange er uforsiktige med passet sitt, påpeker Aanensen.

Han forteller at han er svært forsiktig med sitt eget pass fordi han vet hvor verdifullt dette kan være.

- Men det er vel ikke spesielt enkelt for meg å forfalske ditt pass? Å bytte ut bilde på nye pass er ingen enkel sak?

- Men trenger du det da? En finner bare en i gjengen som ligner på meg, sier Aanensen, og påpeker at det for de fleste er vanskelig å kontrollere om et pass er stjålet.