Personvern og trafikk: Personvernet i intelligente transportsystemer (ITS)

Abstract

Intelligente transportsystem (ITS) forventes å bidra vesentlig til transportpolitiske mål i Nasjonal transportplan om et sikkert, effektivt, miljøvennlig og tilgjengelig transportsystem for alle. De bidrar til effektive løsninger innenfor områder som trafikantinformasjon, trafikk- og flåtestyring, førerstøttesystem, navigasjon, overvåking og kontroll, drift av infrastruktur og betalingssystem. Felles for ITS-løsningene er at de baserer seg på elektronisk innsamling og bruk av data. Rapporten belyser mulige konflikter mellom de nye teknologiske mulighetene ITS -løsningene representerer og målene i personopplysningsloven. Dette er ett av flere tema i et prosjekt SINTEF gjennomfører som del av Statens vegvesens etatsprosjekt om personvern og trafikk. Den første delen av rapporten beskriver et utvalg ITS-løsninger i vegtransportsystemet, der vi identifiserer vesentlige faktorer for personvernet: Hva slags personopplysninger registreres, om hvem, hvordan behandles disse, og hvem er behandlingsansvarlig og databehandlere. De fleste personopplysninger som registreres i veitransporten er ikke sensitive, men helseopplysninger og mistanke om straffbare forhold er aktuelle for noen anvendelser (eCall, alkolås, automatisk trafikkontroll, intelligente fartstilpasningssystem osv.) Personopplysninger som registreres kan ha konsekvenser for personlig økonomi. Noen opplysninger er i seg selv relativt uskyldige, men omfanget av registreringene kan oppleves å true den enkeltes privatliv og integritet. Data om tid og sted (posisjon) registreres i passeringssnitt (automatisk trafikkontroll, automatisk nummerskiltgjenkjenning, elektronisk betaling i bomstasjoner) eller kontinuerlig (lokasjonsbaserte tjenester, sporing av kjøretøy, flåtestyring osv.). Andre løsninger kan oppleves nærgående fordi de i tillegg registrerer atferd (kameraovervåking, registrering av data i bilen, intelligente fartstilpasningssystem) og fordi man ikke nødvendigvis er klar over at man blir registrert. Flere ITS-løsninger involverer ulike teknologier og mange aktører, og kan anvendes på forskjellige måter som i ulik grad involverer personopplysninger. Gjennomgangen viste at det var vanskelig å finne fellestrekk som kjennetegner hvilke system som kommer i konflikter med Personopplysningsloven. Dette viser at både utformingen av det intelligente transportsystemet og hvordan vi bruker teknologien kan være avgjørende for risikonivået. Slike system representerer en infrastruktur for registrering som kan bli brukt på andre måter og av andre aktører i framtida. Derfor fastslår regjeringen i Nasjonal transportplan at personvernhensyn skal være premiss for planlegging, utforming og videreutvikling av informasjonssystemene i transportsektoren, slik at mulighetene for misbruk av personinformasjon reduseres eller elimineres. Den enkelte virksomhet har ansvar for hvordan de tar i bruk ITS-løsninger, med krav om å gjennomføre vurdering av konsekvensene for personvernet før teknologien tas i bruk. Lagring av personopplysninger innebærer en viss risiko for at opplysningene kan komme på avveie eller benyttes på en annen måte enn tiltenkt. Virksomheten må vurdere om formålet med tiltaket kan oppnås med mindre omfattende eller ingen personopplysninger. Dette innebærer også organisatoriske og tekniske rutiner for å unngå å registrere personopplysninger som ikke er strengt tatt nødvendige, at opplysningene ikke registreres flere steder enn nødvendig, at tilgangen til registre begrenses og at opplysningene slettes så snart som mulig. Videre må virksomheten vurdere om tiltaket har grunnlag i lov eller bygger på samtykke av den registrerte, om den registrerte har tilstrekkelig informasjon, og om det vil ha konsekvenser for den registrerte å nekte å oppgi opplysninger osv. Når dette er kartlagt må formålet med tiltaket veies i forhold til konsekvensene for personvernet. Den enkelte virksomhet har ansvar for en forsvarlig behandling av personopplysningene. For å opprettholde et akseptabelt risikonivå er det nødvendig å gjennomføre tiltak på grunnlag av gjentatte risikovurderinger for den aktuelle virksomheten og anvendelsen. En risikovurdering av behandlingen av personopplysninger beskriver først og fremst datasikkerheten – sikkerheten for at dataene er riktige, tilstrekkelige og tilgjengelige for behandling når de skal være det, samtidig som de er sikret mot innsyn, kopiering eller endring av personer som ikke skal ha tilgang til 10 informasjonene. En risikovurdering tar utgangspunkt i de opplysningene som blir behandlet, peker på mulige uønskede hendelser, sannsynligheten for uønskede hendelser og konsekvensene hvis disse hendelsene skjer. En vurdering av sannsynlighet og konsekvens gir resulterende risikonivå. Dersom resulterende risikonivå er høyere enn akseptabelt risikonivå må det gjennomføres tiltak for å opprettholde akseptabelt risikonivå. Den neste delen av rapporten presenterer risikovurdering for noen bruksområder der personvernimplikasjonene ble vurdert å kunne være vesentlige, men av forskjellig karakter. Automatisk nummerskiltgjenkjenning, sporing av kjøretøy og lokasjonsbaserte tjenester handler på forskjellig vis om når en person, eller en gjenstand som knyttes til en person, har vært hvor. Intelligente fartstilpasningssystem som innebærer lagring av data, forteller i tillegg noe om atferden til personen. Gjennomgangen av hendelser, konsekvens og sannsynlighet bekrefter at intelligente transportsystem medfører utfordringer for personvernet. For de vurderte bruksområdene bidrar flere identifiserte hendelser til potensielt høy risiko; at informasjon blir utlevert til uvedkommende, at det innhentes flere opplysninger enn nødvendig, eller at data er ikke tilgjengelig slik at den som er registrert selv kan kontrollere opplysningene. For sporing av kjøretøy og intelligente fartstilpasningssystem med lagring av data, er det også identifisert en risiko for at informasjonen ikke slettes så snart som mulig. For intelligente fartstilpasningssystem med datalagring, er det i tillegg identifisert en potensiell risiko for at informasjon formidles mellom tjenesteleverandører. For disse områdene vil det være behov for tiltak for å opprettholde akseptabelt risikonivå. Den siste delen av rapporten beskriver personvernfremmende teknologier (privacy enhancing technologies, PET) som transportsektoren kan benytte for å bidra til forsvarlig behandling av personopplysninger fra trafikantene. Dette er teknologiske og organisatoriske tiltak som begrenser andres mulighet til å identifisere den enkelte og til å sammenstille mye data om en person. Utgangspunktet er rutiner for dataminimering; unngå å registrere personopplysninger, unngå å lagre data, lagre opplysninger på færrest mulig steder, samt sletterutiner for tidligst mulig sletting av data. Anonymisering er teknologier der hensikten er at informasjonen ikke kan knyttes til en bestemt person. Automatiske sletterutiner er sentralt, for å sikre at lagrede data anonymiseres for statistikkformål eller fjernes, når behovet for å knytte opplysningene til person ikke lenger er til stede. Graden av pseudonymisering avhenger av innsatsen som kreves for å koble person og data. Autentisering verifiserer at du er den du oppgir å være, basert på noe man vet (passord, pin-kode), har (legitimasjon, smartkort) eller er (biometri). Tilgangsforvaltning begrenser tilgang til opplysninger ut fra behov, og inkluderer teknikker for å loggføre at databehandling er i samsvar med forutsetningene. Kryptering kan benyttes for alle disse løsningene. ITS-løsninger gir trafikantene store fordeler med hensyn til komfort, effektivitet og sikkerhet, og løsningene vil i mange tilfeller tas godt i mot av brukerne. Sterke drivkrefter bidrar til utviklingen, både myndigheter, fagmiljø og markedskrefter. Samvirkende system og kobling av ulike registre forventes å ha størst effekt for å nå transportpolitiske mål. Økt bruk av elektronisk registrering og lagring av data gjør at det samles inn store mengder data i forbindelse med transport. Dette kan stimulere aktører til å benytte eller dele data til andre formål enn det som opprinnelig var tenkt, noe som ikke er forenlig med målene i Personopplysningsloven. Samtidig er det vanskelig for den enkelte trafikant å skaffe seg oversikt over omfanget av persondata som behandles, samt risiko og konsekvenser knyttet til dette. Gjennomgangen viser at personvern er et fellesgode som ikke reguleres godt av markedskreftene. Dette kan indikere behov for en tydeligere myndighetsrolle. Det er behov for felles retningslinjer, bransjestandarder og krav der transportsektoren sees i sammenheng, slik at kravene står i forhold til hverandre. Innsikt i problemstillingene er viktig for valg og design av løsninger. Det er også slik at man må ha kunnskap om personvernfremmende teknologier og bruke dem riktig, for å oppnå ønsket effekt. Tekniske muligheter må balanseres mot personvernhensyn, og debatten må holdes levende og bygge på en samlet vurdering av ulike samfunnseffekter.