Vergroot contrast

Vervoersbedrijf Nippon past werkwijze aan na optreden AP

De Autoriteit Persoonsgegevens (AP) stelt vast dat vervoersbedrijf Nippon Express BV de eerder vastgestelde overtredingen van de Wet bescherming persoonsgegevens heeft beëindigd. Eerder concludeerde de AP dat Nippon de identiteitsbewijzen van chauffeurs scande en hierdoor onder meer het burgerservicenummer (BSN) verwerkte zonder dat zij dat mocht. Daarnaast bewaarde Nippon deze scans te lang en had zij de beveiliging niet op orde. Het voornemen van de AP om een last onder dwangsom op te leggen is nu van de baan.

Om fraude te voorkomen controleert Nippon Express de identiteitsdocumenten van vrachtwagenchauffeurs die goederen komen laden. Het bedrijf maakte daarbij gebruik van scanapparatuur en diensten van een extern bedrijf. Op deze manier verwerkte zij het burgerservicenummer (BSN) zonder dat dat was toegestaan.

Bij het verwerken van bijzondere gegevens zoals BSN worden extra strenge eisen aan de beveiliging gesteld. Dat is niet voor niets, met gescande identiteitsdocumenten kan identiteitsfraude worden gepleegd.

Maatregelen BSN en bewaartermijn

Nippon Express heeft naar aanleiding van het voornemen tot het opleggen van een last onder dwangsom maatregelen getroffen. Het bedrijf maakt inmiddels gebruik van een afgeschermde scan, waardoor het BSN en de pasfoto van een chauffeur niet langer worden verwerkt. Direct na het vaststellen van de identiteit wordt de scan verwijderd. De scans worden niet langer bewaard en alle scans van identiteitsbewijzen die waren opgeslagen, zijn verwijderd. Na controle van de identiteitsbewijzen blijft alleen een tekstdocument  hiervan voor de duur van 20 dagen beschikbaar.

Maatregelen beveiliging

Nippon Express gebruikte te eenvoudige authenticatiemethoden bij de toegang tot gevoelige (bijzondere) persoonsgegevens via internet. Uit de beveiligingsstandaarden vloeit voort dat bij de toegang via internet tot applicaties die specifiek zijn gericht op het verwerken van gevoelige informatie, waaronder bijvoorbeeld het BSN, gebruik dient te worden gemaakt van meerfactorauthenticatie. Omdat Nippon een zogenoemde IP-adresbeperking heeft toegepast waardoor toegang tot het tekstdocument slechts via één IP-adres verkregen kan worden, namelijk die van Nippon Express, is geen sprake meer van toegang tot die gegevens voor iedereen. Hiermee is Nippon Express niet langer in overtreding.

Gerelateerd nieuws