De Autoriteit Persoonsgegevens (AP) stelt vast dat vervoersbedrijf Nippon Express BV de eerder vastgestelde overtredingen van de Wet bescherming persoonsgegevens heeft beëindigd. Eerder concludeerde de AP dat Nippon de identiteitsbewijzen van chauffeurs scande en hierdoor onder meer het burgerservicenummer (BSN) verwerkte zonder dat zij dat mocht. Daarnaast bewaarde Nippon deze scans te lang en had zij de beveiliging niet op orde. Het voornemen van de AP om een last onder dwangsom op te leggen is nu van de baan.
Om fraude te voorkomen controleert Nippon Express de identiteitsdocumenten van vrachtwagenchauffeurs die goederen komen laden. Het bedrijf maakte daarbij gebruik van scanapparatuur en diensten van een extern bedrijf. Op deze manier verwerkte zij het burgerservicenummer (BSN) zonder dat dat was toegestaan.
Bij het verwerken van bijzondere gegevens zoals BSN worden extra strenge eisen aan de beveiliging gesteld. Dat is niet voor niets, zegt de AP, want met gescande identiteitsdocumenten kan identiteitsfraude worden gepleegd.
Nippon Express gebruikte te eenvoudige authenticatiemethoden bij de toegang tot gevoelige (bijzondere) persoonsgegevens via internet, oordeelt de AP. Uit de beveiligingsstandaarden vloeit voort dat bij de toegang via internet tot applicaties die specifiek zijn gericht op het verwerken van gevoelige informatie, waaronder bijvoorbeeld het BSN, gebruik dient te worden gemaakt van meerfactorauthenticatie. Omdat Nippon een zogenoemde IP-adresbeperking heeft toegepast waardoor toegang tot het tekstdocument slechts via één IP-adres verkregen kan worden, namelijk die van Nippon Express, is geen sprake meer van toegang tot die gegevens voor iedereen. Hiermee is Nippon Express niet langer in overtreding.
