De Nederlandse afdeling van het internationale transportbedrijf Nippon Express is gestopt met de onrechtmatige verwerking van het burgerservicenummer (BSN) van chauffeurs. De beveiliging van het bedrijf is echter nog niet op orde en persoonsgegevens worden langer dan toegestaan bewaard.

Dat meldt de Autoriteit Persoonsgegevens (AP) dat een onderzoek naar het transportbedrijf uitvoerde (pdf). Nippon Express controleert de identiteitsdocumenten van vrachtwagenchauffeurs die goederen komen laden en maakt daarbij gebruik van scanapparatuur en diensten van een extern bedrijf. Op deze manier verwerkte zij het burgerservicenummer (BSN) zonder dat dat was toegestaan.

"Bij het verwerken van bijzondere gegevens zoals BSN worden extra strenge eisen aan de beveiliging gesteld. Dat is niet voor niets, met gescande identiteitsdocumenten kan identiteitsfraude worden gepleegd", aldus de Autoriteit Persoonsgegevens. De toezichthouder ontdekte verder dat het transportbedrijf onvoldoende maatregelen heeft genomen om te voorkomen dat er met de gescande identiteitsbewijzen identiteitsfraude wordt gepleegd.

Beveiligingseisen

Nippon Express verwerkt in een computersysteem scans van identiteitsdocumenten, maar voldoet daarbij niet aan de beveiligingseisen die de Wet bescherming persoonsgegevens (Wbp) daaraan stelt. Zo worden te eenvoudige authenticatiemethoden gebruikt bij de toegang tot gevoelige (bijzondere) persoonsgegevens via internet. Het transportbedrijf heeft aangegeven hiervoor maatregelen te treffen.

Ook bleek de webserver van het bedrijf onder meer met met een verouderd beveiligingsprotocol te zijn geconfigureerd, en ook beschikte Nippon Express niet over beveiligingsmaatregelen zoals een ip-adrestoegangsbeperking. Hierdoor bestaat het risico dat iedereen met een browser en internet toegang kan krijgen tot het systeem. Nippon Express heeft inmiddels een deel van deze achterhaalde beveiligingsmethoden aangepast.

Het transportbedrijf blijkt verder ingescande identiteitsdocumenten na twintig dagen pas te verwijderen. Daarmee is de bewaartermijn langer dan noodzakelijk voor het doel om met voldoende zekerheid de juiste lading aan de juiste chauffeur mee te geven. Ook op dit punt heeft Nippon Express aangegeven maatregelen te treffen. De Autoriteit Persoonsgegevens onderzoekt op dit moment de aangekondigde maatregelen. Als de overtredingen niet worden beëindigd, dan kan de toezichthouder besluiten om een last onder dwangsom op te leggen.