NSB, Ruter og Flexus
Sist oppdatert 3. Mars 2009
NSB innfører i disse dager nye månedskort av typen Flexus, en elektronisk løsning der man får et kort med en RFID-brikke. RFID-brikken inneholder informasjon om den reisende og gjør at NSB/Ruter kan registrere hvor og når kundene reiser hver gang de skanner kortet ved å holde det inntil en kortleser. Med denne informasjonen kan NSB/Ruter lettere tilrettelegge fremtidige ruter for å gjøre hverdagen lettere for de reisende. Gitt at alle reiser registreres, samles et bilde av de reisendes bevegelser automatisk, uten behov for spørreundersøkelser som er bruk tidligere. Tilsvarende lagres også informasjon om den enkelte reisende, data som vil lagres så lenge dette er tillatt, og potensielt lenger enn dette på gamle sikkerhetskopier eller tilsvarende. Disse dataene er lett tilgjengelig for ansatte i NSB/Ruter, ogkan lett lagres privat om noen skulle ønske å overvåke en persons bevegelser.
Over er et bilde av skjermbildet hos NSB kundeservice. Det viser når jeg “stempla” Flexus-kortet, på hvilket sted, hvilken terminal som ble brukt, og i tilfelle trikk, holdeplass og retning trikken kjørte. Hun på NSB kundeservice fortalte at dataene var tilgjengelig for periodebilletter innenfor perioden denne gjaldt, men senere viser det seg at dataene ikke slettes. Disse dataene kan slås opp ved å lese Flexus-kortet, ved å taste inn kortnummeret eller ved å søke opp navnet på korteier. Det skal ikke så veldig mye fantasi til for å tenke seg hvordan disse dataene kan misbrukes, skulle de falle i gale hender.
Nå er det ikke krav til registrering ennå hos NSB/Ruter, som NSB skriver i sin oversikt over “Ofte besvarte spørsmål [om Flexus]”. De skriver derimot at dette sannsynligvis kommer etter testperioden.
-Får jeg bot dersom jeg ikke har validert den elektroniske billetten?
Det er viktig at du får validert billetten din første gang slik at du har gyldig billett. På sikt er det ønskelig at det valideres også før hver reise, i denne testperioden vil vi ikke kreve dette ved en eventuell kontroll.
En kan spørre seg hvorfor NSB/Ruter velger å lagre denne type informasjon uten å anonymisere den, samt hvordan de klart å få tillatelse til dette av Datatilsynet. Hadde NSB/Ruter valgt å fjerne referansen til personen/flexus-kortet etter for eksempel en time etter siste reise, ville de fremdeles sittet igjen med den samme kvaliteten på trafikkinforamasjonen, samtidig som de umuliggjorde misbruk av data. Selv kommer jeg ikke til å skanne Flexus-kortet mitt noe mer, og heller gå til innkjøp av en Faraday-pung hvor kort med RFID kan oppbevares.
Oppdatering 1. Mars 2009:
Avtalevilkårene for bruk av Flexus, nevnt på http://minruter.no/, sier følgende:
I tillegg til personopplysningene i registreringsskjemaet vil vi også lagre elektronisk reisedata i den utstrekning det er nødvendig for å kunne gi deg god service ved for eksempel å gjenskape innholdet i et tapt kort.Reisedata er for eksempel hvor du har reist, hvilket billettslag du har brukt, samt fødselsdato og ditt Flexuskort-nummer. Reisedata vil også bli brukt for å foreta avregning av billettinntekter mellom Ruter og NSB. For alle statistiske formål vil dine data bli anonymisert.
Det kan se ut som om dette ikke er tilfelle, eventuelt om dataene først blir anonymisert idet de tas i bruk for statistikk. Disse vilkårene blir man heller ikke gitt ved registrering hos NSB.
Forslag til Flexus: Alle reiser logges fra A til Å. Etter en viss periode, kanskje to timer, er ikke lenger reisen sammenhengende, og dermed ikke relevant i forhold til ruteplanlegging. Reisen fra A til B til C osv kan dermed lagres som en anymisert reise. Ruter/NSB vil miste informasjon om personen som foretar reisen, med tilhørende tap av informasjon som markedsavdelingen ville ha likt, men det er uansett verdt prisen.
Oppdatering 3. Mars 2009:
Jeg ble i dag tilsnakket av en rimelig forbannet sjåfør på 404-bussen fra Kjeller mot Lillestrøm fordi jeg nektet å la ham lese kortet. Jeg henviste til Flexus’ og Ruters egne regler og fikk uventet støtte fra en medpassasjer. Jeg fortalte sjåføren at om han ville kontrollere Flexus-kortet, fikk han ringe etter en kontrollør.
Da jeg var tilbake i Oslo, snakket jeg med Trafikanten. Der kunne de bekrefte at SL-buss og generelt sett alt av busser bortsett fra leddbuss, må sjekke passasjerenes billetter, det være seg enten å se stempling eller å registrere flexus-kortet. Dette peker nok en gang på at det ikke er og potensielt ikke skal være mulig å reise anonymt.
Den initielle bloggposten ble sendt Datatilsynet, og de svarte med en kort epost og en lengre artikkel med deres syn på saken.
Siste kommentarer