Toezichthouder tikt transportbedrijf op de vingers wegens verwerking BSN

Transportbedrijf Nippon Express is na onderzoek van de Autoriteit Persoonsgegevens (AP) gestopt met de onrechtmatige verwerking van het burgerservicenummer (BSN) van chauffeurs. Bij het bedrijf bleek ook de beveiliging niet op orde en bleek dat persoonsgegevens te lang werden bewaard.

Dit blijkt uit een onderzoeksrapport dat de AP heeft gepubliceerd. Nippon Express kondigt aan maatregelen te nemen om ook deze lopende overtredingen te beëindigen. De AP onderzoekt dit momenteel. Als de overtredingen niet worden beëindigd, dan kan de AP besluiten om een last onder dwangsom op te leggen.

Burgerservicenummer

Nippon Express controleert de identiteitsdocumenten van vrachtwagenchauffeurs die goederen komen laden en maakt daarbij gebruik van scanapparatuur en diensten van een extern bedrijf. Op deze manier verwerkte zij het burgerservicenummer (BSN) zonder dat dat was toegestaan. Bij het verwerken van bijzondere gegevens zoals BSN worden extra strenge eisen aan de beveiliging gesteld. Dat is niet voor niets, met gescande identiteitsdocumenten kan identiteitsfraude worden gepleegd.

In het onderzoeksrapport concludeert de AP dat het transportbedrijf onvoldoende maatregelen treft om te waarborgen dat er geen identiteitsfraude gepleegd kan worden met de gescande identiteitsbewijzen. Nippon Express verwerkt in een computersysteem scans van identiteitsdocumenten, maar voldoet daarbij volgens de AP niet aan de beveiligingseisen die de Wet bescherming persoonsgegevens (Wbp) daaraan stelt. Zo gebruikt Nippon Express te eenvoudige authenticatiemethoden bij de toegang tot gevoelige (bijzondere) persoonsgegevens via internet. Nippon heeft aangegeven hiervoor maatregelen te treffen.

Verouderd beveiligingsprotocol

Daarnaast was de webserver van het bedrijf onder meer geconfigureerd met een verouderd beveiligingsprotocol, en ook beschikte Nippon Express niet over beveiligingsmaatregelen zoals een IP-adrestoegangsbeperking. Hierdoor bestaat het risico dat iedereen met een browser en internet toegang kan krijgen tot het systeem. Nippon Express heeft inmiddels een deel van deze achterhaalde beveiligingsmethoden aangepast.

De AP concludeert in haar rapport dat Nippon Express het scansysteem gebruikt voor de controle van echtheidskenmerken van de identiteitsdocumenten en dat de door hen ingescande identiteitsdocumenten na twintig dagen pas worden verwijderd. Daarmee is de bewaartermijn langer dan noodzakelijk voor het doel om met voldoende zekerheid de juiste lading aan de juiste chauffeur mee te geven. Ook op dit punt heeft Nippon Express aangegeven maatregelen te treffen.