Clicky


Nippon Express gestopt met onrechtmatige verwerking BSN na onderzoek Autoriteit Persoonsgegevens

Nippon Express gestopt met onrechtmatige verwerking BSN na onderzoek Autoriteit Persoonsgegevens
11-07-2017 11:27 | Overig | auteur Redactie [FE]

DEN HAAG - Transportbedrijf Nippon Express is na onderzoek van de Autoriteit Persoonsgegevens (AP) gestopt met de onrechtmatige verwerking van het burgerservicenummer (BSN) van chauffeurs. Dat staat in het onderzoeksrapport dat de AP vandaag publiceert.

De AP constateert hierin ook nog enkele andere overtredingen. Zo is de beveiliging niet op orde en bewaart Nippon Express persoonsgegevens langer dan toegestaan. Nippon Express heeft aangekondigd maatregelen te nemen om ook deze lopende overtredingen te beëindigen. De AP onderzoekt dit momenteel. Als de overtredingen niet worden beëindigd, dan kan de AP besluiten om een last onder dwangsom op te leggen.

Burgerservicenummer

Nippon Express controleert de identiteitsdocumenten van vrachtwagenchauffeurs die goederen komen laden en maakt daarbij gebruik van scanapparatuur en diensten van een extern bedrijf. Op deze manier verwerkte zij het burgerservicenummer (BSN) zonder dat dat was toegestaan.

Bij het verwerken van bijzondere gegevens zoals BSN worden extra strenge eisen aan de beveiliging gesteld. Dat is niet voor niets, met gescande identiteitsdocumenten kan identiteitsfraude worden gepleegd.

Beveiligingsrisico’s

In het onderzoeksrapport concludeert de AP dat het transportbedrijf onvoldoende maatregelen treft om te waarborgen dat er geen identiteitsfraude gepleegd kan worden met de gescande identiteitsbewijzen. Nippon Express verwerkt in een computersysteem scans van identiteitsdocumenten, maar voldoet daarbij niet aan de beveiligingseisen die de Wet bescherming persoonsgegevens (Wbp) daaraan stelt, aldus de AP. Nippon Express gebruikt te eenvoudige authenticatiemethoden bij de toegang tot gevoelige (bijzondere) persoonsgegevens via internet. Nippon heeft aangegeven hiervoor maatregelen te treffen.

De webserver van het bedrijf was onder meer geconfigureerd met een verouderd beveiligingsprotocol, en ook beschikte Nippon Express niet over beveiligingsmaatregelen zoals een IP-adrestoegangsbeperking. Hierdoor bestaat het risico dat iedereen met een browser en internet toegang kan krijgen tot het systeem. Nippon Express heeft inmiddels een deel van deze achterhaalde beveiligingsmethoden aangepast.

Bewaartermijn

De AP concludeert in haar rapport dat Nippon Express het scansysteem gebruikt voor de controle van echtheidskenmerken van de identiteitsdocumenten en dat de door hen ingescande identiteitsdocumenten na twintig dagen pas worden verwijderd. Daarmee is de bewaartermijn langer dan noodzakelijk voor het doel om met voldoende zekerheid de juiste lading aan de juiste chauffeur mee te geven. Ook op dit punt heeft Nippon Express aangegeven maatregelen te treffen.

Nieuwstags: