nieuws

Privacy begint aan de poort

Arbeidsrecht

Een bedrijf kan valide redenen hebben om te controleren wie er binnenkomt. Maar je moet heel voorzichtig zijn met de gegevens die je daarbij verzamelt. Heiligt het doel de middelen en hoe zit het met de beveiliging van persoonsgegevens?

Privacy begint aan de poort

Om fraude te voorkomen controleert Nippon Express de identiteitsdocumenten van vrachtwagenchauffeurs die goederen komen laden. Zo voorkomt het bedrijf dat een chauffeur er met de verkeerde lading vandoor gaat.

Het bedrijf maakte daarbij gebruik van scanapparatuur en diensten van een extern bedr.ijf. Op deze manier verwerkte zij het burgerservicenummer (BSN) zonder dat dat was toegestaan, meldt de Autoriteit Persoonsgegevens (AP). Ook schortte het aan de beveiliging van persoonsgegevens

Veel mis met procedure

Uit onderzoek van de AP bleek dat er veel mis was met de procedure. Nippon Express verwerkte de scans van identiteitsdocumenten in een computersysteem, maar voldeed daarbij niet aan de beveiligingseisen die de Wet bescherming persoonsgegevens (Wbp) daaraan stelt, aldus de AP.

Verouderd beveiligingsprotocol

De webserver van het bedrijf was onder meer geconfigureerd met een verouderd beveiligingsprotocol, en ook beschikte Nippon Express niet over beveiligingsmaatregelen zoals een IP-adrestoegangsbeperking. Hierdoor bestond het risico dat iedereen met een browser en internet toegang kon krijgen tot het systeem. Ook werden de scans pas na twintig dagen verwijderd, veel langer dan nodig is om te garanderen dat chauffeurs de juiste lading meenemen.

Strenge eisen aan beveiliging van persoonsgegevens

Met gescande identiteitsdocumenten kan identiteitsfraude worden gepleegd. Bij het verwerken van bijzondere gegevens zoals BSN worden daarom extra strenge eisen aan de beveiliging gesteld.

Lees ook: Privacy in het personeelsdossier: wat mag en wat niet?

Werkwijze aangepast

Direct na het onderzoek van de AP beloofde Nippon Express de gewraakte werkwijze aan te passen en werk te maken van de beveiliging van persoonsgegevens. Het bedrijf maakt inmiddels gebruik van een afgeschermde scan, waardoor het BSN en de pasfoto van een chauffeur niet langer worden verwerkt. Direct na het vaststellen van de identiteit wordt de scan verwijderd. De scans worden niet langer bewaard en alle scans van identiteitsbewijzen die waren opgeslagen, zijn verwijderd. Na controle van de identiteitsbewijzen blijft alleen een tekstdocument  hiervan voor de duur van twintig dagen beschikbaar.

IP-adresbeperking

Ook past Nippon een zogenoemde IP-adresbeperking heeft toe. Hierdoor kan toegang tot het tekstdocument slechts via één IP-adres verkregen worden, namelijk dat van Nippon Express. Er is daarom geen sprake meer van toegang tot die gegevens voor iedereen. Hiermee is Nippon Express niet langer in overtreding.

Weet u wat wel en niet mag op het gebied van privacy? Meld u aan voor het webinar Privacy (16 november) van Hester de Vries, partner van advocatenkantoor Kennedy van der Laan en voorzitter van de Vereniging Privacyrecht. In een uurtje bent u helemaal bij.

Reageer op dit artikel

Gerelateerde tags

Lees voordat u gaat reageren de spelregels