www.sweetchili.dk

Forkerte CPR-valideringer på lektieportalen

I går oprettede Morten Von Würden, webredaktør og koordinator for online lektiehjælp hos Matematikcenter, en bruger på lektieportalen Studido.com. Det samme har jeg.

Vi angav på intet tidspunkt vores cpr-nummer, men alligevel står vi 24 timer efter fortsat som CPR-valideret.

Måske er du stødt på den nye online lektieportal Studido.com, der henvender sig til børn fra 0-de klasse til 3G. Deres unge sælgere står over hele landet og bytter en gratis slikpose og en 14 dages prøveperiode, mod dit navn, mailadresse og dit mobilnummer, for det sidste er det eneste en virksomhed skal bruge fra dig, udover en betalingsløsningsmodel, for at dit eget mobilselskab efterfølgende kan trække dig  for det abonnement, som du i dette eksempel, binder dig for i seks måneder, hvis du ikke når at melde fra i tide. Beløbet er på ialt kr. 1194.

En betalingsløsningsmodel som den Studido.com benytter sig af, er en løsningsmodel købt ind via iNMOBILE, der ifølge deres website samarbejder med de 4t’er, Telia, Telenor, 3mobil og TD

Jeg har lavet en anmeldelse af lektieportalen, hvor jeg kigger nærmere på hele portalen og deres fremgangsmåde. Den har jeg valgt at dele op i flere dele, da jeg kigger på flere områder hvad angår deres forretningsmodel. Første del er ude HER. 

 

 

FORKERTE CPR-VALIDERINGER

Studido.com begrunder valget af denne betalingsløsningsmodel med den nye persondatalov, der træder i kraft i 2018, som ifølge Studidos.coms pressekonsulent jo blandt andet vil være forbundet med bødestraffe, hvis man som virksomhed bliver hacket og personfølsomme data – som cpr-numre og kreditkoplysninger –  bliver lagt på nettet.

“Vi ønsker så lidt persondata på vores kunder som muligt”.

Alligevel har studido.com i den periode, jeg har været i dialog med deres pressekonsulent, valgt at ændre deres brugere på deres lektiehjælps-portal.De står nu som CPR-valideret.

Noget der her i første omgang undrer Pernille H (jeg har hendes fulde navn), der ikke mindes at have videregivet sit CPR-nummer til Studido.com.

Pernille H var inde på lektiehjælpsportalen, i den 14 dages gratis prøveperiode, hun havde skrevet under på, for at se om det kunne være en mulighed for hendes datter. Derinde oprettede hun en “tutor”-efterlysning, en session der skal foregår via skype, og det er her hun nu fremstår som CPR-valideret. Tutoren er her en der yder lektiehjælp til hendes barn.

(Studido har fået byttet rundt på Pernilles og hendes datters navn)

Jeg har gjort Studido.com opmærksom på Pernille cpr-nummer, og de kan ikke umiddelbart finde hende i deres register. De har dog lovet at grave videre.

Til spørgsmålet om hvorfor deres brugere nu er blevet CPR-valideret, svarer Studidio.com og jeg citerer direkte;

Det er indlysende, at studido.com benytter sig af CPR-validering. Man ønsker ikke, at der eksisterer falske identiteter i systemet.

CPR-validering sker gennem en CPR-valideringsservice, som ene og alene tjekker om navn og CPR-nr. stemmer overens. CPR-nr. gemmes ikke og eksisterer derfor ikke i studido.com-systemet, når en bruger har indtastet sit CPR-nr. Processen tjener alene det formål at sikre brugerne et trygt miljø for læring. Og foretages – skulle du være i tvivl… – i fuld overensstemmelse med alle love og regler og af en yderst troværdig aktør.

Det sidste viser sig dog desværre ikke at holde stik.

Sådan ser billedet ud når du afgiver dine CPR-informationer hos Studido.com. Teksten på deres side er nu på engelsk.

 

Jeg kontakter nu CPR-registret, og Carsten Grage, kontorchef i Økonomi- og Indenrigsministeriets CPR-kontor, forklarer om krav til CPR-validering som følgende;

“Anvendes adgangen til CPR i forbindelse med en selvbetjeningsservice på en offentlig tilgængelig hjemmeside, skal kunden sikre, at brugere af denne selvbetjeningsservice kun kan initiere opslag i CPR efter at være blevet autentificeret med NemID, ligesom pågældendes personnummer skal være verificeret via Digitaliseringsstyrelsens PID-CPR Match”.

Carsten Grage afslutter med ordene; ”Som nævnt telefonisk, ses Studido.com ikke på det foreliggende grundlag at have adgang til CPR-systemet”.

Jeg foreligger nu studido.com svaret og efterlyser navnet på deres leverandør, og de svarer;

“at I henhold til studido.com’s aftale med cpr-valideringsudbyderen kan de ikke oplyse navnet på den pågældende virksomhed. Dette skyldes sikkerhedsmæssige hensyn i forhold til beskyttelse af persondata. Men de kan dog oplyse, at der er tale om én af landets største inden for feltet.”

De beder mig også bemærke, at studido.com ikke gemmer og efterfølgende ikke har adgang til de indtastede cpr-numre.

 

DET VAR ET NUMMER

Fredag den 20 oktober, mødte Matin Skaar Jacobsen, far til to skolesøgende, Studido.coms sælgere i Århus. Han takkede ja tak til et prøve-abonnement på lektiehjælp, og i weekenden oprettede han nu en bruger på Studido.com. Han blev bedt om at indtaste både sit eget navn og sit barns, og her også begge deres Social-Security number. Det sidste stod på engelsk.

På intet tidspunkt bad Studido.com ham om at verificere sig via Nem-Id, som reglerne er.

Systemet meldte nu fejl, da hans navn og CPR-nummer ifølge deres system ikke passede sammen.

Studido.coms forklaring til Martin var, at det nok handlede om, at han ikke havde skrevet hans fulde navn.

Martin valgte i weekenden at melde sig ud af Studido.com og har efterfølgende skrevet en kritik på Trustpilot.

 

 

Jeg tager nu Martins eksempel og cpr-nummer med videre til Carsten Grage, kontorchef i Økonomi- og Indenrigsministeriets CPR-kontoret, der gennemgår weekendens søgninger, og han kan nu bekræfte, at der rent faktisk har været en søgning i CPR-registret på Martin.

Han bekræfter samtidigt,  at det er sket gennem selskabet Debitor Registret. Også kaldet Bisnode.

I korte træk, har det været muligt for Studido.com at få tjekket et navn op imod et CPR-nummer i CPR-registret, en test, man skulle formode skulle bruges til en validering på en portal målrettet børn, uden at de har brugt den lovmæssige nem-id vericering af brugeren.

Carsten Grage kontorchef i Økonomi- og Indenrigsministeriets CPR-kontoret udtaler efterfølgende:

Vi blev gennem sweetchili blevet opmærksomme på, at der tilsyneladende via hjemmesiden www.studido.com har kunnet foretages opslag i CPR, som ikke var i overensstemmelse med CPR-kontorets vilkår. Vores undersøgelser af sagen har ført til, at der blev lukket for denne adgang”.

Jeg har talt med Ida Sørensen hos BisNode, der står bag det nævnte Debitor Registret, og hun forklarer, at der hos Studido.com netop mangler Nem-Id verificeringen. Hun udtaler nu, at dette på ingen måde, følger de retningslinier der forefindes og de krav de har til deres kunder, og Bisnode har nu valgt at lukke for Studido.coms adgang til registret.  Bisnode har anmodet om en fuld redegørelse fra Studido.com

 

FALSKE PROFILER BLEV CPR-VALIDERET

 

Tirsdag den 24 oktober bad jeg Morten Von Würden, webredaktør og koordinator for online lektiehjælp hos Matematikcenter om at kigge på den nye lektieportal, i forbindelse med en udtalelse til den kommende anmeldelse jeg havde undervejs.

Morten oprettede i den forbindelse en prøveprofil hos Studido.com. for at se om det var muligt at indtaste forkerte oplysninger. Det samme har jeg gjort. Morten hed Noah, og hans søn Kasper, og jeg hed blot Pernille. Min mailadresse var en gmail, oprettet til lignende formål. Vi oprettede begge efterfølgende en “opgave” derinde, altså en efterlysning efter en tutor, som er en lektiehjælper.  Denne session ville så skulle kunne foregå via skype.

Jeg prøvede i samme forbindelse også at tilbyde hjælp til “Noah” og han “søn”, det gør man ved at aktivere den blå kasse til venstre for navn og opgaven. Den gik igennem uden at melde fejl.

Da vi oprettede profilerne og nu de to opgaver, fravalgte både Morten og jeg begge at indtaste et CPR-nummer, men alligevel står vores “Noah” og “Pernille” næsten 24 timer senere fortsat som CPR-valideret.

Jeg har nu sendt dette eksempel videre til Anklagemyndigheden for at høre, hvorvidt dette hører under misbrug eller hvorvidt det blot er misledende markedsføring.

 

 

 

Jeg afventer samtidigt Debitor Registrets /Bisnodes udtalelse om, hvordan de alene med et navn og cpr-nummer og uden verficering via nem-id, tillader Studido.com et tjek på CPR.DK.

 

LEKTIEHJÆLPEN OG ELSELSKABET

I min sidste mail til Studido.com skrev de, at de nu var færdige med at besvare mine spørgsmål, som de mener har skiftet retning mange gange. Men jeg håber dog fortsat på et svar til spørgsmålet om, hvorvidt de har fundet Pernille i deres register, og i hvilken forbindelse de har fået hendes CPR-nummer.

Jeg ved dog med 100% sikkerhed, at min “Pernille” profil aldrig gav dem sit.

Studido kontaktede mig – og ikke omvendt – de jeg undersøgte betalingsløsningsmodeller som den Studido benytter sig af via InMobile. Min hensigt var at bruge dem som case i forhold til hvordan man kan trække penge, ved brug af et mobilnummer alene, da jeg forudså at denne type løsningsmodeller, jo reelt kan udnyttes som chikanemiddel eller hvis en virksomhed er lidt lummer i betrækket.  Jeg valgte derfor at benytte mig af kontakten til deres pressekonsulent, og stillede dem nu spørgsmål til løsningsmodellen. Deres svar om hvorfor de valgte denne betalingsløsningsmodel med argumentet, manglende ønske om cpr-numrer, åbnede nu for flere spørgsmål og denne nye vinkel.

Studido er ifølge erhvervsregistret stiftet den 29 august 2016. og der blev samtidig indbetalt kr 50.000 ved oprettelsen. De er ejet af Blue Energy, hvis bruttofortjeneste hoppede som en flot gazelle fra 3,7 millioner i 2015 til 14,3 i 2016. Ejerskabet for begge ligger i Gurernseys i England hos New Nordic, som ifølge Studidos pressekonsulent, er et selskab dannet af en række investorer i ind- og udland. 

 Når man kigger på lektieportalen og de mange uoverensstemmelser med cpr-valideringerne, er deres bagland af en sådan størrelse, at det får mig til at undre mig over, disse – for at finde et ikke injurierende ord – lidt klumpede løsninger.
 
… jeg har valgt at sende nogle nye opklarende spørgsmål til Bisnode, blandt andet om hvordan de fik anmodningen fra Studido med Martins Skaars informationer, da det ser ud til, at den side, man indtaster sit cpr-nummer på hos Studido, umiddelbart er en del af deres eget website og umiddelbart ikke sikret. For ifølge Studido ligger de jo ikke inde med CPR-numre på nogen.
Og slet ikke på “Noah” eller på Pernille”:
…..her på minichili-redaktionen har jeg ingen gratis praktikanter der kan korrekturlæse mine indlæg, og jeg når det ikke selv. Så jeg tager forbehold for løsslupne kommaer og syrede tastefejl. Håber dog de kan underholde, mere end de kan forarge,
Kunne du bruge artiklen til noget, eller ønsker du at jeg skriver en ny? Så vil jeg være glad for en donation for den underholdning du mener du fik. Det hjælper med at betale for domænet. Og skriv gerne hvilket ønske du har for din mønt. Du betaler. Jeg skriver. Både før og efter. Jeg takker for den gode tanke på min mobile pay: +45 40409028

 

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *