Een bedrijf kan valide redenen hebben om te controleren wie er binnenkomt. Maar je moet heel voorzichtig zijn met de gegevens die je daarbij verzamelt. Heiligt het doel de middelen en hoe zit het met de beveiliging van persoonsgegevens?

Om fraude te voorkomen controleert Nippon Express de identiteitsdocumenten van vrachtwagenchauffeurs die goederen komen laden. Zo voorkomt het bedrijf dat een chauffeur er met de verkeerde lading vandoor gaat.

Het bedrijf maakte daarbij gebruik van scanapparatuur en diensten van een extern bedr.ijf. Op deze manier verwerkte zij het burgerservicenummer (BSN) zonder dat dat was toegestaan, meldt de Autoriteit Persoonsgegevens (AP). Ook schortte het aan de beveiliging van persoonsgegevens

Veel mis met procedure

Uit onderzoek van de AP bleek dat er veel mis was met de procedure. Nippon Express verwerkte de scans van identiteitsdocumenten in een computersysteem, maar voldeed daarbij niet aan de beveiligingseisen die de Wet bescherming persoonsgegevens (Wbp) daaraan stelt, aldus de AP.

Verouderd beveiligingsprotocol

De webserver van het bedrijf was onder meer geconfigureerd met een verouderd beveiligingsprotocol, en ook beschikte Nippon Express niet over beveiligingsmaatregelen zoals een IP-adrestoegangsbeperking. Hierdoor bestond het risico dat iedereen met een browser en internet toegang kon krijgen tot het systeem. Ook werden de scans pas na twintig dagen verwijderd, veel langer dan nodig is om te garanderen dat chauffeurs de juiste lading meenemen.