Gør dig selv den tjeneste at kigge godt på billedet – selv om det umiddelbart kan fremstå lidt rodet. Billedet viser de data, der blev sendt, når man på Dansk Journalistforbunds hjemmeside tilmeldte sig til en karriereudviklingssamtale.

Her skulle man indtaste sine personlige oplysninger – inklusive sit cpr-nummer.

Men som billedet viser, så blev dit cpr-nummer sendt ukrypteret.

Det er ulovligt ifølge Datatilsynet: "Hvis der er tale om transmission af fortrolige oplysninger, herunder personnummer, skal der som minimum foretages en kryptering," skriver de på deres hjemmeside.

Journalisten har forelagt sagen for Datatilsynet. Datatilsynet har ikke et faktuelt grundlag til at kunne udtale sig om den konkrete sag, men it-chef Sten Hansen oplyser, at Datatilsynet stiller krav om kryptering ved overførsel af personnumre via hjemmesider.

Dette fremgår også af Datatilsynets hjemmeside, hvor det er anført, at tilsynet "stiller udtrykkeligt krav om kryptering" ved overførsel af personnumre via hjemmesider.

Det er Peter Kruse, it-sikkerhedsekspert og chef for CSIS Research & Intelligence, der har udført den test, der dokumenterer, at cpr-nummeret blev sendt af sted helt ukrypteret. Peter Kruse havde indtastet det falske cpr-nummer 101070-1013 i sin test af DJ's karriereside.

En kryptering sikrer, at ens cpr-nummer ikke kan opsnappes af andre.

Per Nielsen, udviklingchef i DJ, vidste ikke, at cpr-numrene blev sendt ukrypteret.

»Det skal vi jo ikke gøre. Vi skal selvfølgelig overholde loven, så det vil vi rette op på,« siger han.

Kort efter Journalistens henvendelse til DJ blev systemet rettet, så det nu er medlemsnummeret i DJ og ikke længere cpr-nummeret, som man skal indtaste for at tilmelde sig en karriereudviklingssamtale.