Kollektivselskapet Ruter i Oslo og Akershus aksepterer ikke et pålegg fra Datatilsynet om begrenset lagring av personopplysninger i det elektroniske billettsystemet Flexus.
Selskapet administrerer kollektivtrafikken i Oslo og Akershus og samarbeider med NSB om Flexus.
Kartlegger
Løsningen gjør det mulig å registrere passasjerenes reisemønster, noe som er selve grunnlaget for et felles billettsystem:
Å kartlegge transportbehovet og fordele billettinntektene mellom NSB og kollektivselskapene i Oslo og Akershus.
Gransket
Datatilsynet gransket det nye billettsystemet i fjor og reagerte sterkt på omfattende lagring av personopplysninger.
– Når en passasjer tar i bruk Flexus-kortet første gang i gyldighetsperioden, registreres det opp mot en database. Det er greit. Men hvorfor skal systemet fange opp hver gang du går på en buss eller bane med gyldig billett? Vi forstår behovet for å kartlegge reisemønster, men det er ikke nødvendig å vite hvem som eier de ulike kortene, sier senioringeniør Atle Årnes hos Datatilsynet.
Lovbrudd
Ruter fikk beskjed om at selskapet bryter personvernloven.
– Informasjon om hvem som eier en billett skal slettes 30 dager etter at gyldighetstiden er utløpt. Personidentitet knyttet til reisemønster skal slettes umiddelbart, sier Årnes til Teknisk Ukeblad. Han mener at selskapet må kunne klare å samle data om reisemønster med anonymiserte data.
Aksepterer ikke
I løpet av klagefristen på tre uker ba Ruter om utsatt klagefrist og har nå bestemt seg for ikke å godta pålegget fra Datatilsynet.
Dermed havner saken hos Personvernnemda, som etter planen har fått saken på sitt bord i løpet av denne uken.
Ruter argumenterer med at man trenger informasjonen for å kunne planlegge kapasitet, vedlikehold, fordele inntekter og yte kundeservice.
Kortnummer
Kjernen er kortnummeret, som kan kobles direkte til eieren.
– Det er spesielt viktig å ha kortnummeret ved feilsøking, og dersom kunden protesterer på at en billett er tatt i bruk for tidlig. Uten kortnummer vil det være svært vanskelig å si noe om årsaken, sier ikt-konsulent Einar Bjørkevoll ved Elektronisk Billettering i Ruter (EBIR).
– Det stilles også krav til å kunne sjekke ut transaksjoner ved avregning mellom ruter og NSB, sier han. Bjørkevoll påpeker at flere av kontrollmulighetene vil forsvinne hvis de ikke kan beholde kortnummeret en periode.
Overfylt
Informasjonsrådgiver Gro Janborg forklarer at stor tilflytting øker behovet for å lagre informasjon om folks reisemønster.
– Oslo og Akershus har en enorm befolkningsvekst. Det har innvirkning på kollektivtrafikken. En buss som har pleid å være halvtom, er med ett overfylt av passasjerer på grunn av stor tilflytting. De elektroniske reisekortene gir Ruter statistikk til å dimensjonere og planlegge kollektivtilbudet slik at det er best mulig tilpasset kundenes behov, sier Janborg.
Anonymt
Hun mener lagring av kortnumre er nok til å anonymisere de reisende.
– I denne statistikken framstår hvert kort kun med et nummer. Ruter vet ingenting om hvem som benytter kortet til enhver tid, hvis ikke kunden etter eget ønske har latt seg registrere som korteier. Og slike personopplysninger ligger på separate systemer hos underleverandører. Registrering gjør det blant annet mulig å få erstattet tapt kort. Et uregistrert kort gir overhodet ingen indikasjoner om hvem som eier det eller eventuelt reiser på det, påpeker hun.
Kan sjekke halvparten
I dag har rundt 50 000 passasjerer registrert seg.
Det betyr at Ruter teknisk er i stand til å koble reisemønster og identitet på halvparten av de som har Flexus-kort.
Syretest
Datatilsynet mener enhver må kunne reise kollektivt og anonymt.
– Det er ikke nødvendig å lagre personinformasjon bare fordi elektroniske billetter gjør det mulig. Det er det som nå skal testes i Personvernnemnda, sier Årnes.
– Er dette en syretest på personvern?
– Ja, det er det.
