Pseudonymisering, hvorfor det ikke er anonymitet

Anonymisering og pseudonymisering

Jeg hørte i denne uge rejsekort.dk forklare, at de vil sikre vores privatliv ved dels at sælge såkaldte anonyme rejsekort. Dels at anonymisere rejsekort efter tre måneder. Med "anonymisere" mener de at udskifte kortnummeret i alle historiske registreringer med et et nyt tilfældigt nummer, så de ikke umiddelbart kan henføre brug at kortet til en bestemt person.

Det er ikke anonymisering, da alle ens registreringer stadig kan forbindes ved hjælp af det nye psudokortnummer. Det er pseudonymisering.

Pseudonymiseringen indebærer at pseudonymet kan knyttes til den rejsendes identitet. Pseudonymisering kan have berettigede anvendelser. Men når man sælger et rejsekort som "anonymt" og der i virkeligheden er tale om en pseudonymisering, er det falsk varebetegnelse.

Det er naturligvis ikke betryggende, at oplysningerne i første omgang gemmes i tre måneder. Det er også som borger svært at være sikker på, at
der ikke et eller andet sted er en backup af registreringerne med det originale kortnummer. Men det er ikke emnet her.

Rejsemønstre og depseudonymisering

Et rejsekortet forventes at holde ca 5 år. Lad os sige at du har et tre år gammelt rejsekort, og at myndighederne gerne vil have fat i dig. Det kan fx være fordi du for et år siden kørte med bus til Vollsmose en dag, hvor man nu ved at der blev planlagt en forbrydelse. Eller Skat mener at sidste års rejsemønster tyder på sort arbejde.

Der er tale om registreringer der er mere end tre måneder gamle, så myndigherne kan ikke som for nye registreringer bare bede rejsekort.dk
om dit personnummer.

Matching af rejsemønster

Du bruger sikkert stadig dit kort. Dvs, man kan kigge på de pseudonymiserede oplysninger fra fx et år siden, finde et mønster og så
søge efter samme mønster for alle kort. Det kan fx være at pseudoregistreringerne viser at der bliver checket ind i bus 42 på stoppestedet Anemonevej hver morgen kl 7.42, checket ud på Kontorvej stoppestedet kl 8.30, checket ind igen på Kontorvej kl 17.10, dog 15.50 om fredagen. Desuden rejses der fra Anamonevej til Rødovre næsten hver Onsdag aften.

Så kan man finde samme mønster i registreringerne fra de sidste tre måneder, finde frem til dit rejsekort, som du bruger til at pendle til
arbejde og tage til skakklubben om onsdagen. Og når man har det rigtige rejsekortnummer, har man også dit CPR-nummer.

Metoden er attraktiv fordi den kun anvender registreringer fra rejsekort.dk fordi det ikke er nødvendigt at vide, hvorfor du rejser mellem Anemonevej, Kontorvej og Rødovre. Men metoden virker ikke hvis du bruger et anonymt rejsekort, eller hvis du ikke har brugt kortet de sidste tre måneder. Så skal der andre metoder til.

Matching mod andre registreringer

Det nemmeste er at bruge oplysninger, der allerede er registrereret i offentlige systemer.

Man kikker på de pseudonymiserede registreringer og bemærker at der 7-10 gange om året er rejser fra Anemonevej til Soderupvej stoppestedet i Nr Ubbehage i Jylland, bl.a. i perioden fra 21-24 december hvert år. Det må være familie. Hvor mange har folkeregister tæt på Anemonevej og nær familie på Soderupvej? Det står alt sammen i folkeregisteret.

Lad os sætte svaret højt til 5 for at gøre det mere spændende. Disse 5 personer, hvem er deres praktiserende læge og hvornår har de været
til konsultation? Det er registreret i sundhedssytemet. Der har været 42 konsultationer på forskellige datoer de sidste tre år. Der er tre
pseudonomiserede rejser til en af lægerne på en af de 42 datoer. Kun en af rejserne startede på Anemonevej, de andre fra Kontorvej. Alle tre
rejser er foretaget på det samme pseudonymnummer, 234828977893 og konsultationerne var med patient 320572-2393.

For at være helt sikker checker man lufhavnspolitet og PNR-oplysningerne. 320572-2339 har foretaget 14 flyrejser fra Københavns
Lufthavn de sidste tre år. Pseudokortet 234828977893 er 11 gange blevet brug til metrorejser, der er ankommet til lufthavnen mellem nul og fire timer før 320572-2393 checkede ind.

Det er godt nok, det er ikke nødvendigt at checke med Taxaselskaberne om 234828977893 skulle have brugt rejsekortet i en Taxa de sidste tre
gange.

Du er ikke anonym mere.

Konklusion

  • Dit rejsemønster over flere år er helt unikt. Hvis det ikke var unikt, ville der være mindste en anden person der i årevis var med samme busser, tog, osv som dig, og det ville du nok lægge mærke til.
  • Det er ret nemt at finde frem til dig ud fra dit rejsemønster. Også selvom man kun bruger offentlige registre.
  • Et anonymt rejsekort er ikke anonymt.
  • Metoderne beskrevet her kan formodentligt i de fleste tilfælde udføres automatisk af maskiner.