KJERNE: Kollektivselskapene i Oslo er avhengige av å kartlegge passasjerenes reiser for å fordele inntekter og planlegge kapasitet, men Datatilsynet hevder Ruter krysser grensen for ulovlig lagring av personinformasjon. (Bilde: Espen Zachariassen)

Flexus: – En syretest på personkartlegging

  • IT

Flexus

  • Felles elektronisk billettsystem for tog, buss, trikk og bane i Oslo og Akershus.
  • Passasjerene benytter et plastkort som som fylles opp med et antall reiser eller gyldighetsperiode og -område.
  • Hensikten er å gjøre det enklere å bytte transportmiddel.
  • Løsningen har hatt store startproblemer, i hovedsak som følge av at de tre involverte kollektivselskapene har kjøpt sine billettløsninger fra tre ulike leverandører.
  • Samkjøring mellom de tre må til for å fordele billettinntektene.

Dette lagres på bussturen

Her er en liste over informasjon som Ruter lagrer om passasjerene og reisene de foretar.

Persondata:

  • Fornavn
  • Etternavn
  • Fødselsdato
  • Kjønn
  • E-postadresse
  • Mobiltelefonnummer
  • Fasttelefonnummer
  • Adresse


Reisedata:

  • Transaksjonstype
  • Reisedato
  • Status på transaksjonen
  • Utførende kollektivselskap
  • Stasjons id eller utstyrs id
  • Korteier
  • Korttype
  • Slutt dato for kortet
  • Status for applikasjonen på kortet
  • Transaksjonsteller (telles opp hver gang det skrives til kortet)
  • Sluttdato for applikasjonen
  • Produkteier
  • Produktkode
  • Produkt sekvensnummer
  • Salgsdato for produktet
  • Hvilket selskap som har solgt kortet
  • Sone fra, via og til
  • Utløpsdato for produktet
  • Om produktet er solgt via AutoRenew
  • Slutt dato for AutoRenew
  • Gjenværende verdi på Flexus-konto
  • Transaksjonsverdi
  • Betalingsmåte
  • Linje (buss/ trikk)
  • Avgangstid (buss, trikk, avgangstid fra startholdeplass)
  • Transakjonstidspunkt
  • Utførende transportør
  • Sjåfør og id (pga salgsrapporter)


Kilde: Datatilsynets rapport fra tilsyn hos Ruter mai/november 2009

Kollektivselskapet Ruter i Oslo og Akershus aksepterer ikke et pålegg fra Datatilsynet om begrenset lagring av personopplysninger i det elektroniske billettsystemet Flexus.

Selskapet administrerer kollektivtrafikken i Oslo og Akershus og samarbeider med NSB om Flexus.





Kartlegger

Løsningen gjør det mulig å registrere passasjerenes reisemønster, noe som er selve grunnlaget for et felles billettsystem:

Å kartlegge transportbehovet og fordele billettinntektene mellom NSB og kollektivselskapene i Oslo og Akershus.





Gransket

Datatilsynet gransket det nye billettsystemet i fjor og reagerte sterkt på omfattende lagring av personopplysninger.

– Når en passasjer tar i bruk Flexus-kortet første gang i gyldighetsperioden, registreres det opp mot en database. Det er greit. Men hvorfor skal systemet fange opp hver gang du går på en buss eller bane med gyldig billett? Vi forstår behovet for å kartlegge reisemønster, men det er ikke nødvendig å vite hvem som eier de ulike kortene, sier senioringeniør Atle Årnes hos Datatilsynet.

TEST: Senioringeniør Atle Årnes hos Datatilsynet ser på klagebehandlingen av Ruters lagring som en test på hvor langt man kan gå. Hans Fredrik Asbj¿rnsen

Lovbrudd

Ruter fikk beskjed om at selskapet bryter personvernloven.

– Informasjon om hvem som eier en billett skal slettes 30 dager etter at gyldighetstiden er utløpt. Personidentitet knyttet til reisemønster skal slettes umiddelbart, sier Årnes til Teknisk Ukeblad. Han mener at selskapet må kunne klare å samle data om reisemønster med anonymiserte data.





Aksepterer ikke

I løpet av klagefristen på tre uker ba Ruter om utsatt klagefrist og har nå bestemt seg for ikke å godta pålegget fra Datatilsynet.

Dermed havner saken hos Personvernnemda, som etter planen har fått saken på sitt bord i løpet av denne uken.

Ruter argumenterer med at man trenger informasjonen for å kunne planlegge kapasitet, vedlikehold, fordele inntekter og yte kundeservice.





Kortnummer

Kjernen er kortnummeret, som kan kobles direkte til eieren.

– Det er spesielt viktig å ha kortnummeret ved feilsøking, og dersom kunden protesterer på at en billett er tatt i bruk for tidlig. Uten kortnummer vil det være svært vanskelig å si noe om årsaken, sier ikt-konsulent Einar Bjørkevoll ved Elektronisk Billettering i Ruter (EBIR).

– Det stilles også krav til å kunne sjekke ut transaksjoner ved avregning mellom ruter og NSB, sier han. Bjørkevoll påpeker at flere av kontrollmulighetene vil forsvinne hvis de ikke kan beholde kortnummeret en periode.





Overfylt

Informasjonsrådgiver Gro Janborg forklarer at stor tilflytting øker behovet for å lagre informasjon om folks reisemønster.

– Oslo og Akershus har en enorm befolkningsvekst. Det har innvirkning på kollektivtrafikken. En buss som har pleid å være halvtom, er med ett overfylt av passasjerer på grunn av stor tilflytting. De elektroniske reisekortene gir Ruter statistikk til å dimensjonere og planlegge kollektivtilbudet slik at det er best mulig tilpasset kundenes behov, sier Janborg.





Anonymt

Hun mener lagring av kortnumre er nok til å anonymisere de reisende.

– I denne statistikken framstår hvert kort kun med et nummer. Ruter vet ingenting om hvem som benytter kortet til enhver tid, hvis ikke kunden etter eget ønske har latt seg registrere som korteier. Og slike personopplysninger ligger på separate systemer hos underleverandører. Registrering gjør det blant annet mulig å få erstattet tapt kort. Et uregistrert kort gir overhodet ingen indikasjoner om hvem som eier det eller eventuelt reiser på det, påpeker hun.





Kan sjekke halvparten

I dag har rundt 50 000 passasjerer registrert seg.

Det betyr at Ruter teknisk er i stand til å koble reisemønster og identitet på halvparten av de som har Flexus-kort.





Syretest

Datatilsynet mener enhver må kunne reise kollektivt og anonymt.

– Det er ikke nødvendig å lagre personinformasjon bare fordi elektroniske billetter gjør det mulig. Det er det som nå skal testes i Personvernnemnda, sier Årnes.

– Er dette en syretest på personvern?

– Ja, det er det.