Anonymitet og sletterutiner i automatiske bomstasjoner Merete Kjærnli Seksjon for transportinformatikk Bompengekonferansen 8. oktober 2009 1
Bakgrunn 1. februar 2004 ble de første automatiske stasjoner innført i Tønsberg, Bergen og Gjesdal 18. november 2004 innførte Datatilsynet konsesjonsplikt for automatiske stasjoner, med krav om mulighet for anonym ferdsel i bomstasjonene Statens vegvesen påklagde vedtaket til Personvernnemda 2
Bakgrunn 7. mars 2006 vedtok Personvernnemda følgende: Datatilsynet kan utferdige konsesjon, der sletting av passeringsopplysninger legges til grunn. Statens vegvesen har ansvar for at det avholdes revisjon for å sikre at konsesjonsvilkårene blir holt. 3
Betalingsmetodikk i automatiske bompengeanlegg Vi kan skille mellom: Passering med AutoPASS brikke Passering uten AutoPASS brikke 4
1. Passering med AutoPASS brikke Kunde registrer seg med navn, adresse, kontonummer, kjøretøyets klasse og registreringsnummer. - Kobling mellom brikke og kjøretøyet - Forskuddsbetaling - Automatisk belastning på brukerens konto Passeringer lagres i ett år (Ihht bokføringsloven) Mulighet for avtale med sletting av passeringsopplysninger 5
AutoPASS avtale med sletting av passeringsopplysninger: - Tid og sted slettes senest 72 timer etter passering - Forutsetter positiv saldo (forskuddsbetaling) - Sletting av passeringsdata vanskeliggjør: - Eventuell klage - Enkelte rabattyper 6
2. Passering utført uten AutoPASS brikke: - Kjøretøyets registreringsnummer fotograferes - Faktura i posten eller servicestasjon - Bilde slettes så fort faktura er betalt og klagefristen er utløpt Passeringsopplysninger lagres i ett år, ihht bokføringsloven 7
Systemrevisjon Følgende krav er satt ned i konsesjonen til Datatilsynet: 1. Det skal etableres en likeverdig alternativ betalingsløsning mht pris, rabattordninger og tilgjengelighet 2. Det skal informeres aktivt om - Alle betalingsløsninger og funksjonalitet - At det benyttes teknologi for fjernavlesning som kan lokalisere kjøretøyet (informasjonstavler/skilt). 3. Bilisten skal til enhver tid kunne velge mellom ulike betalingsmåter 8
To alternative løsninger: 1. Anonym avtale konsept og fordeler Kunden inngår AutoPASS-avtale uten å registrere navn, adresse, kontonummer eller registreringsnummer - Kun relasjon mellom brikke og avtalen - Kontant forskuddsbetaling - Opprettholder dagens struktur på AutoPASS-systemet - Gir mulighet for rabattløsninger 9
Anonym avtale tekniske utfordringer Går bort fra en bil- en brikke - utfordring ved passeringsfeil (3-5%): a) Manglende registrering av en brikkepassering Kunde mottar faktura i posten, mister sin anonymitet b) Feilaktig kobling mellom brikkepassering og kjøretøy Kunde risikerer dobbel belastning og mister sin anonymitet 10
Anonym avtale tekniske utfordringer Prosesseringstiden av passeringsdata på 24 t kan medføre misbruk. - Må sette meget høyt depositumbeløp og/ eller - Øke oppdateringsfrekvensen av kundens saldoinformasjon. - Mulighet for differensiering av avtaler? Forhandlernettverket: Krever bedre distribusjon og tilgjengelighet Online tilgang til sentralsystemet for avtaleinngåelse og etterfylling av saldo med kontantbetaling 11
Anonym avtale - utfordringer Enkelte rabattordninger Kontroll av rett kjøretøyklasse/ avgiftsklasse Kontroll av at ikke flere bruker samme brikke EASYGO (utenlandske passeringer) 12
Anonym avtale - utfordringer Økt kundeansvar; må påse at : det alltid er positiv saldo på brikken passeringen i bomstasjon blir registrert og belastet brikken er rett montert brikken blir en verdigjenstand 13
Alternativ løsning: 2. Utvikle ny kontant brikke Verdien må ligge i brikken, evt med en skyggekonto Vegkantutstyret må sannsynligvis skrive til brikken. Forutsetter økt frekvens på statuslister Vanskelig å tilby rabatter/ evt forhåndsprogrammert på rabatt type krever langt flere brikker Oppgradering av systemet fra slik det er i dag Sannsynligvis en meget høy kostnad 14
Nye rutiner Det er i ferd med å innføres et nytt sentralsystem for samtlige AutoPASS-anlegg Alle kunder vil da få tilgang til passeringsopplysningene sine på nett. Vårt forslag er at opplysningene skal være tilgjengelige i tre måneder etter passeringstidspunktet Bompengeselskapene kan da slette opplysningene innen seks måneder etter passering 15