Prøv avisen

It-eksperter: Rejsekortet behøver ikke cpr-numre

Rejsekortsystemet i London er, at man på samme måde som med taletidskort indbetaler det beløb, som man efterfølgende bruger af. Dermed kan kortet købes anonymt. – Foto: Søren Staal.

Rejsekortets løsning, der kræver passagerernes cpr-nummer, er forældet, siger it-konsulent. Teknologien til, at selskabet kan identificere kunderne uden cpr-nummer, har eksisteret længe

Det er unødvendigt, at brugerne af rejsekortet afkræves cpr-nummer. Den nyeste teknologi giver mulighed for at udstyre de rejsende med et kort, der kan identificere passagererne, uden at de skal aflevere deres cpr-nummer. Det vurderer Frederik Kortbæk, konsulent og koordinator i forskningsnetværket Dansk Privacy Netværk.

Rejsekortets løsning er allerede i dag forældet og lever ikke op til en tidssvarende beskyttelse af privatlivets fred, siger Frederik Kortbæk.

LÆS OGSÅ: Hvor meget privatliv må et togkort koste?
 
Han fortæller, at man i dag har teknologien til en løsning, som entydigt godkender passagererne uden cpr-nummer. Den type kort anvendes i praksis Tyskland, hvor man bruger kortet til bankerne og som sygesikringskort. Et tilsvarende kort, det såkaldte europæiske borgerkort, findes i Belgien, Portugal og Finland, og det er på vej i Norge. Kortet kan fungere på samme måde som rejsekortet i dag, hvor man kører det forbi en stander i bussen eller på perronen. Den eneste forskel er, at når passageren bruger kortet, vil der på Rejsekort-selskabets computer dukke en anonym kode op i stedet for personens identitet.

Det er jo irrelevant for at rejse, at man skal identificere sig. Det hører ingen steder hjemme, siger Frederik Kortbæk.

I de lande, der benytter den slags kort, har kortet funktionerne til transport indbygget, men det bruges endnu ikke i transportsektoren i de pågældende lande. Forskningen viser, at det kan lade sig gøre, siger Frederik Kortbæk.

Hvis kunden snyder, eller der opstår andre uregelmæssigheder med kortet, kan selskabet stadig finde frem til vedkommende. Hvis kortet bliver stjålet, kan det ikke bruges, for det kan tilknyttes en pinkode eller eksempelvis fingeraftryk, så det kun er kortindehaveren, der kan bruge kortet. Og selskabet skal gennem en sikkerhedsprocedure for at få adgang til personens kontaktdata, hvis de opdager snyd. Indtil da har ingen serviceudbyder adgang til kortindehaverens data.

Det er et spørgsmål om, hvorvidt man ønsker at sikre en høj grad af persondatabeskyttelse eller ej. At det bliver en smule mere besværligt for rejsekort-selskabet, er den pris, de må betale, for at brugeren kan rejse anonymt, siger Frederik Kortbæk.

Den eneste information, der er nødvendig for Rejsekortet, er, at den, der har kortet, også er den, der har købt det, mener Søren Duus Østergaard, ekstern lektor i e-government på IT-Universitetet i København. Han er enig med Frederik Kortbæk i, at et anonymiseret kortsystem ville passe bedre til formålet.

Det er i orden, at den offentlige sektor bruger personligt id til at sørge for, at man er stensikker på, hvilke borgere der får hvilke ydelser, betaler hvilke skatter og den slags. Der bruger man en relativt stærk identifikation. Men når man så begynder at bruge den til alle mulige andre ting, bruger man private oplysninger til mere, end hvad der er hensigten med dem. Hvorfor bruge den stærkeste identifikation, man har, til noget banalt som at købe det, der svarer til et klippekort?, spørger Søren Duus Østergaard.

Ifølge Bjørn Wahlsten, administrerende direktør i Rejsekortet A/S, er selskabets model ikke et spørgsmål om teknologi. Med den betalingsmodel, selskabet har valgt, er det underlagt et lovkrav om, at kunderne skal kunne identificeres med cpr-nummer eller for udlændinges vedkommende billed-legitimation.

Hvis vi skal oprette en aftale, hvor man har med e-penge at gøre, siger loven, at kunden skal kunne identificeres entydigt. Det gør man i Danmark med cpr-nummer for danskere med et cpr-nummer. Man kan gøre det for udlændinge med billedlegitimation og boligbevis, siger Bjørn Wahlsten.

Kunder med et almindeligt rejsekort skal som minimum have 50 kroner stående på rejsekortet, når de rejser. Koster turen mere end 50 kroner, skal saldoen udlignes efterfølgende. Dermed arbejder selskabet med elektroniske penge, såkaldte e-penge, og er underlagt både persondataloven, hvidvaskningsloven og loven om betalingstjenester og elektroniske penge. En alternativ model, som man kender den fra det rejsekortsystemet i London er, at man på samme måde som med taletidskort indbetaler det beløb, som man efterfølgende bruger af. Dermed kan kortet købes anonymt.

Der er masser af andre muligheder. Det er bare ret besværligt for kunderne i forhold til den løsning, vi har valgt. Når vi har valgt denne løsning, er det, fordi kunderne dermed ikke skal tænke på, hvor mange zoner de skal rejse, eller hvad prisen er. Man skal bare bruge kortet, siger Bjørn Wahlsten.

mcghie@k.dk