Staten vil give virksomheder adgang til danskernes anonymiserede rejsekort-data

Så fik jeg talt med Datatilsynet, Erhvervsstyrelsen og Rejsekortet.

Jeg har lukket mit personlige rejsekort og bedt dem slette alle data. Dog skal de selvfølgelig beholde den rejsehistorik jeg har købt iflg bogføringsloven. Og jeg fik info igår fra Rejsekortet, at de så gerne må bruge disse data, da de anonymiserer dem.

Det er lige netop det, som jeg ikke er enig med dem i.

Datatilsynet kender ikke helt til bogføringsloven, og vaskede lidt hænder, da data blev anonymiseret. Jeg fik mere en fornemmelse af at de syntes jeg var besværlig med alle mine spørgsmål.

Heldigvis fik jeg fat i en meget kompetent og hjælpsom medarbejder hos Erhvervsstyrelsen. Han mente at jeg havde ret og at jeg skulle få at vide, hvilken hjemmel som Rejsekortet henviste til. Man må ikke bare tage bogføringsdata og bruge dem til statistik. Heller ikke selv om de er anonymiseret.

Så jeg har nu kontaktet Rejsekortet igen Næste skridt er Forbrugerombudsmanden

Hvis nogen herinde kender mere til bogføringsloven, så kommenter endelig. Jeg famler rundt og prøver bare at finde svar.

Det er sjældent at der går så kort imellem, at jeg kommer med et synspunkt, og så at andre bekræfter det med et eksempel, så tak til Martin og hans log10-anonymisering i #25.

• det er meget bedre end noget, som vi kommer til at se (og jeg er villig til at sætte en omgang fadbamser på højkant på min lokale på, at det bliver sådan!).
• det er stadig ikke godt nok
• det vil udsætte i forvejen udsatte yderligere og samtidigt sikre de allerede privilegeredes privilegier
• det vil øge BNP og vækst på samme måde som trafikuheld gør det, nemlig ved at folk til tage sig godt betalt for arbejde, som vi gerne have været fri for (altså uheldene, ikke redningsarbejdet!)

Og det er mine synspunkter; de to første går direkte på pointen fra mit tidligere indlæg, så dem vil jeg fokusere på - og de to sidste er mere kommentarer til Martin (jeg kunne ikke lade være). Hvis du hopper fra nu, så har du ikke gået glip at noget væsentligt, for nu vil jeg prøve at argumentere.

Re "det er for godt til at være sandt": brugen af logaritmer er lidt "røg og spejle", så lad os tage udgangspunkt i, at log10-metoden er bedre end k=11 anonymitet. Det er ikke klart, hvordan 0 skal håndteres, men her er "best practice" for k-anonymitet desværre at have den som selvstændig "gruppe" fremfor at folde dem ind i "mindre end k", og det er en gave til folk med slette hensigter.

Og her skræmmer sporene. I Trivselsundersøgelserne startede man uden k-anonymitet, så jeg var dengang i stand til at via offentlige kilder at se fordelingen af svarene for de dengang fire drenge fra Christians Ø, og at en af dem lå tæt på systematisk lavere end resten. Det er efterfølgende rettet til n<5 og Christians Ø fremgår heller ikke selvstændigt, men ministeriet konkluderede helt korrekt, at det trods dette ville være umuligt at tage svarene fra den elev fra Langelinjeskolen i København ud, som ved en fejl og imod forældrenes eksplicitte ønske var kommet med, uden at helt at udlevere eleven - og der var knap 1000 elever på den skole, så man må sige, at det var noget at flok at skjule sig i.

Jeg har også her fortalt af mine oplevelser med offentligt tilgængelig sundhedsdata, og her slog jeg ned på provokerede aborter for kvinder over fyrre i Nordjylland. Det var en n<5 anonymiseret tabel per kommune med summer for halv- og helår for hele regionen. Men da summen for hele året kom over 5, så var den præcis, og det gjorde det muligt at regne baglæns, så det muligt at identificere fire kvinders kommune helt unikt (og med viden om, at de var den eneste fra deres kommune, så ligger vejen åben til andre former for inferens). Og uanset, så er det ikke, hvad man havde lovet, når man sagde "n<5".

Prisen blev dog taget af den aktindsigt, som jeg fik lov til at kigge over skulderen, hvor man helt seriøst beklagede overfor marketing i et amerikansk medicinal-firma, at man var nødt til anonymisere det udtræk af danske sundhedsdata, som de bad om, men hvor man selv foreslog n<3 (dvs. 0, 1-2, 3, 4 ....)! Selv blandt minimale figenblade så ligger det i den absolut laveste ende.

Så jeg tror, at vi skal være glade, hvis vi ser noget marginalt bedre end n<5 anonymitet med eksplicit nul, og selvvalgte grupperinger, og det er markant ringere end den foreslåede log10-anonymisering.

Re "ikke godt nok": det er svært at få nogen til at sætte nedre grænser for k, for et afhænger helt af, hvor følsomme oplysninger her. k kan sættes rimeligt lavt, hvis der tale om statistik over for tit græsplæner bliver slået i villakvarterne, men adfærdsdata og især lokationsdata ligger i særskilt grad i den anden ende. Eksempelvis, så vil det nok være ganske interessant at følge antallet af passagerer til og fra stoppestedet nærmest FE på Amager.

Svjv. så sætter "Have I Been Pwned" k=500, og jeg har set kilder sige, at som tommelfingerregel, så skal k ligge i laget 100-2000, medmindre det er særligt følsomt. Hvis vi snakker helt basale grundoplysninger, så kan vi nok komme ned i området 5-20, men det også den absolutte bundgrænse - og kun hvis der ikke er tale om fler-dimensionelle data.

Og det sker så ikke praksis (udover måske lige HIBP), så selv log10-anonymisering vil være en forbedring!

Re "udsætter de udsatte": Fisk ved at man er udsat, når man er alene, og sikker i midt i timen, fugle ved at flokke giver tryghed, og zebraer og gnuer ligeså. Dem, som vi skal beskytte er altså de få, og ikke de mange, men en logaritme-tilgang slører flokken og stiller skarpt på de få.

At vi så har en tidligere minister, som var mere end villig til at kaste "den et-benede fra Samsø" under bussen for fællesskabets bedste, gør det ikke bedre (og det gælder næppe, hvis det havde været identificerbare ministre som stod i vejen, og ikke en fiktiv handicappet øbo).

Og ja, min formulering var nok ... ahem ... "skarpvinklet" ;-). Men det er en selvstændig og vigtig pointe at det er i bunden af skalaerne, at anonymiteten er mest udsat.

... og så har jeg vist opbrugt min taletid for denne gang. Tag og se videoen, som Jesper Lund linker til #6, for selvom den har nogle år på bagen, så understreger det bare, hvor lidt vi har lært.

Det er jo en ret ligegyldig debat, hvis man på forhånd antager, at data deles på en måde, som både er ulovlig og viser sig ikke at være anonymiseret.

Hvis det f.eks. er en liste med de fem kolonner: antal rejser samt tidsstempel og lokation for check in og check ud. Med den lille finte at antallet er afrundet Log10. Dvs. 1-10, 10-100, 100-1000 osv. så slipper man for identifikationer med kun een rejsende.

Hvis man derimod sætter et persistent id på hver rejse, så man kan tracke flere rejser til samme pseudonym, så begynder balladen. Måske.

Hvis datasættet kan være med til at øge BNP, forbedre services for borgere eller øge velfærden, så er det bare pragtfuldt.

Nej Du kan fx se alle dine debatindlæg rundt omkring her https://muckrack.com/anne-marie-krogsbll/articlesSå dine holdninger sælges altså også

"De oplysninger er i dag hemmelige, men nu overvejer Trafikstyrelsen at offentliggøre det i anonymiseret form på tjenesten Datavejviser."

Et rungende spørgsmål melder sig: Hvorfor?

Man kan i øvrigt heller ikke svare på et indlæg p.t. Det kan måske forklare en hel del, hvis man tænker over at det er samme slags mennesker der har implementeret version2's debatforum som laver rejsekort, xxxId, skatte-sw ...

Som Jesper Lund også er inde på i #3, så er adfærdsdata kropumulige at anonymisere, og af alle adfærdsdata, så er lokationsdata de værste. Det er sagt mange gange før, men åbenbart ikke mange gange nok!

Der er en modstrid imellem anonymitet og nytteværdi; de er så at sige hinandens modsætninger. Ikke bare fordi at jo nyttigere data er, jo større er behovet for anonymisering, men også fordi at anonymisering handler om at skjule detaljer og nytteværdien hurtigt forsvinder, når selv de mindste detaljer mistes.

At der er et tradeoff er vist efterhånden accepteret, og ingenting er vel helt 100%. Men det virker som om, at flertallet antager, at det som udgangspunkt altid er muligt at lave løsninger, som sikrer 99% anonymitet og samtidig bevarer 99% nytte (og hvad er 99%; ud af en million, så kaster det titusinde under bussen, så i nogle situationer er det helt uacceptabelt).

Og hvem siger, at det muligt at bevare så megen nytte imod så lille et tab af anonymitet? I de fleste konkrete tilfælde, som jeg har dykket nærmere ned i, så har det forholdt sig helt omvendt: data-folk pevet højlydt over at de har fået ødelagt alle de dejlige data uden at forsøget på anonymisering reelt har gjort nogen betydende forskel. Så måske er kompromisset i virkeligheden, at vi kan regne med at beholde 1% af nytten imod at miste 99% af anonymiteten (og det vil ikke gøre nogen lykkeligere, hverken dem, som vil noget med andre, eller de andre, som må lægge ryg til).

Ja, de konkrete tal er hevet ud af luften, for der er svært at kvantificere, men jeg godt udfordre ideen om, at man som udgangspunkt kan bevare en rimelig nytte og samtidig have en rimelig anonymitet. For det desværre ofte sådan, at hvis det er noget værd, så er det også svært (og sværhedsgraden stiger nok desværre noget hurtigere end nyttenværdien).

Digitaliseringsstyrelsen udstiller deres inkompetence i IT verden i tilmelding: Hvordan skal man udfylde "Hvis du har valgt 'Andet', uddyb gerne" for der er ingen muglighed for at vælge 'Andet' i "For at kunne lave bedre arrangementer i fremtiden vil vi gerne høre, hvad du håber at få ud af arrangementet (klik alle relevante af): "

Jeg kommer helt klart til at køre mere i bil...

Du tror ikke bilens nummerplader bliver scannet og registreret?

Tilmeld jer event hos Digitaliseringsstyrelsen

Jeg har opsagt mit rejsekort og bedt Rejsekort slette alle data om mig. Desværre så må de ikke slette min rejsehistorik pga bigføringsloven, men iflg Datatilsynet så må DOT ikke bruge disse data til statistik.

Jeg tror lige jeg skal have fat i Datatilsynet igen.

Jeg kommer helt klart til at køre mere i bil...

Off topic: Er der en tidshorisont for hvornår tommelfingerne (y) virker igen @Version2? Den ene uge virker, den næste ikke. Lige siden i gik fra den gamle hjemmeside.

STOOP!!

Hvis nogen skal have adgang til mine rejsedata har de bare at afregne ved kasse1, jeg vil gerne rejse gratis så der skal bare betales rigeligt.

umiddelbart må de vel ikke bruge data til andet end det de er indsamlet til, nemlig afregning.

Tak for svar, Jesper Lund - af en eller anden grund kan jeg ikke linke et svar til din kommentar - eller give thumps up.

Men mht. kommende rejsekortsapp: Ja, det frygter jeg også. Overvågningen har ingen ende - den knopskyder som en anden hydra. Får man ingen valgmuligheder? F.eks. hvis man ikke har smartphone?

Det eneste som kan udleveres som anonyme data er kraftigt aggregerede rejsedata, såsom trafiktællinger (antal rejser fra A til B, hvis A og B er tilpas generiske).

Alternativt kan der udvikles et API, så man kan lave mere specialiserede søgninger (fx. hvor mange af de passagerer, der står på toget på nørreport mellem 8:00 og 9:00, slutter rejsen i zone 1. Et sådant api skal designes med stor omhu, og fx frasortere resultater med få datapunkter, men burde være muligt. Som udgangspunkt bør man kun kunne fremsøge aggregerede data, og aldrig individuelle rejser.

Hvis projektet handler om udlevere rejsekort data på individniveau uden direkte personidentifikationer (fx navn), er det fuldstændigt umuligt at anonymisere den type lokationsdata. Langt de fleste vil blive identificeret ud fra deres rejsemønstre.

(Af samme grund er Rejsekort Anonymt ikke anonymt på nogen måde, men man slipper for at udlevere CPR-nr, hvilket kan begrænse visse registersamkøringer, og beskytte lidt mod databrud; men det er en anden diskussion).

Der er en del firmaer som høster lokationsoplysninger via apps og sælger dem som "anonyme" data, hvilket er en stor løgn, fordi personer meget nemt kan re-identificeres. En af mange artikler om dette emnehttps://nyheder.tv2.dk/samfund/2021-06-03-otto-jensen-blev-overvaaget-hvert-minut-af-sin-mobil

Skal staten nu være databroker på den måde? Det vil være en meget dårlig start for den nye digitaliseringsminister.

Det eneste som kan udleveres som anonyme data er kraftigt aggregerede rejsedata, såsom trafiktællinger (antal rejser fra A til B, hvis A og B er tilpas generiske).

Jesper Lund IT-Politisk Forening

På hvilken måde "anonymiserede"? Vil man give adgang til den enkelte rejsendes rejsedata i anonymiseret form, eller vil man give adgang til data af typen "585 rejsende stod af på Valby Station kl. 14.15 med linje C"?

Hvis det er det første: Forbrydere - efter min opfattelse. Hvis juraen ikke mener det, bør juraen laves om, for det er tracking, overvåning og fedten for og underkastens sig overvågningskapitalismen - de trojanske heste har så været på spil igen.

Får det da aldrig ende....