Praktijkboek Digitalisering van vrachtbrieven
2. Beveiliging
Think data, not documents. That’s all
Veiligheid van platform / app
Indien u elektronische vrachtbrieven gebruikt van een commerciële aanbieder, krijgt u toegang tot zijn platform en applicatie (website of app). Ook kan de software embedded zijn in het platform van een management-systeem of vrachtplatform.
In het eCMR protocol staan geen voorschriften over de beveiliging van de ICT-omgeving waar de data van de elektronische vrachtbrief op wordt bewaard. De Stichting Vervoeradres adviseert om informatie in te winnen over de beschikbaarheid, de beveiliging en snelheid van beschikbaarheid van de data van het platform. Zeker tijdens het uitvoeren van de vervoersopdracht moet op elk gewenst moment een vrachtbrief kunnen worden getoond, en dat lukt niet als deze drie zaken niet op orde zijn. Men kan ervoor kiezen om toegang tot de vrachtbrief rechtstreeks op de ICT-omgeving via een methode (portal, software, etc) te verschaffen of via een app die toegang heeft tot de ICT-omgeving.
Wijze van beveiliging
De beveiliging valt in twee niveaus uiteen. De beveiliging op hardware niveau en de beveiliging van de gebruikte software van de ICT-omgeving en de app.
De ISO/IEC 27001 and 27002 Cyber security standaard is een certificaat die 3 jaar geldig is en aan audits onderhevig. Dit certificaat geeft een bepaalde mate van volwassenheid aan van de cyber security van het platform. Vaak eisen de grotere licentienemers bewijs van hoe de ICT-omgeving is beveiligd en moet deze ICT-omgeving aan bepaalde minimum eisen voldoen.
Als de app wordt aangeboden via de Play Store van Google, is de app door dit bedrijf aan hun eisen inzake veiligheid getoetst.
Een app kan bijvoorbeeld via een beveiligd internet protocol (HTTPS) communiceren met de omgeving of software via een VPN verbinding. Maakt men gebruik van WIFI dan kan de communicatie hiermee ook versleuteld worden met WPA2 of WPA3 beiden met AES-encryptie.
Om hacken en DDOS aanvallen tegen te gaan kan voor een omgeving gebruik gemaakt worden van firewalls, proxys, dynamic ip-ranges en dergelijke.
Toegankelijkheid van data
De klant is en blijft "eigenaar" van de data die op het platform wordt gezet. Juist bij de vrachtbrief zijn er meerdere partijen, die inzage in de vrachtbrief nodig hebben. Met name de partijen bij de vervoersovereenkomst en hun onderaannemers dienen toegang te krijgen tot de vrachtbrief, maar ook overheidsinstanties in verband met hun controlerende taken. De beschikbaarheid van de data zal in een praktisch format inzichtelijkheid moeten geven en laten zien dat aan alle voorwaarden van een vrachtbrief is voldaan.
De toegang tot de data van het platform kan op meerdere manieren worden geregeld. Indien een partij wijzigingen mag aanbrengen, inclusief het aanmaken van een elektronische vrachtbrief, dan dient dat vastgelegd te worden, zoals hierboven aangegeven in de § Minimum functionaliteiten.
De uitwisseling van data met de ICT-omgeving (via de app of API) is alleen mogelijk middels een beveiligde verbinding waarbij men zichzelf moet identificeren middels OAUTH2 of een HTTPS verbinding heeft. Dit is een industrie standaard protocol voor autorisatie.
Inzage door politie / inspectie / douane
De eis dat op aanvraag een vrachtbrief moet worden getoond, houdt ook in dat de beschikbaarheid van de ICT-omgeving zo hoog mogelijk moet zijn en de snelheid waarmee de data beschikbaar is. Hier moet wel onderscheid worden gemaakt tussen up-time (hoeveel % van de tijd functioneert de omgeving naar behoren) en beschikbaarheid (hoeveel % van de tijd kun je bij de data van de omgeving). Hier bestaan meerdere gradaties in, maar wellicht kent uw bedrijf hier een protocol voor.
Aan handhavingsinstanties (politie, inspectie en douane) moet op aanvraag een vrachtbrief worden overhandigd. Dit kan middels het tonen van de elektronische vrachtbrief op een mobiel apparaat. Een andere mogelijkheid is dat handhavingsinstanties (na toestemming van betrokkenen) de vrachtbrief kunnen inzien op het platform.
In de toekomst zullen er mogelijk wettelijke regelingen volgen voor informatie uitwisseling met overheidsinstanties inzake ADR, afvalstoffen en douane. In Nederland is digitale informatie aan deze instanties mogelijk, maar laat u zich daar vooraf goed over informeren. Voor vervoer binnen de Benelux respectievelijk de Europese Unie bestaan op dit moment nog geen regelingen voor. Via de nieuwsbrief van Weg en Wagen kunt u wetswijzigingen op dit terrein volgen.
Betrouwbaarheid van de aanbieder
De markt van aanbieders van software voor elektronische vrachtbrieven is pas recent tot ontwikkeling gekomen. Op dit moment is deze markt nog niet volwassen. Er zijn een aantal serieuze aanbieders, maar daarnaast dient u ook alert te zijn op cowboys, die op een snelle manier geld willen verdienen of die op uw gegevens uit zijn. Het is dus voor gebruikers belangrijk om naast de wettelijke eisen, ook onderzoek te doen naar kwaliteit en betrouwbaarheid van de aanbieders van software en platforms. Op de website van het NIWO kunt u een lijst van erkende aanbieders vinden, die in het kader van de Benelux-beschikking zijn goedgekeurd.
Archivering
De elektronische vrachtbrieven moeten minstens 2 jaar bewaard worden. De administratieve verplichtingen voor de belastingdienst (btw-administratie, accijnzen, douane aangiftes) schrijven voor dat vrachtbrieven minstens 7 jaar te gearchiveerd worden. De vrachtbrieven kunnen gearchiveerd worden door het platform, maar de complete vrachtbrief kan ook als beveiligde pdf aan de gebruiker worden overgedragen om te bewaren in eigen beheer.
Escrow overeenkomst
Indien de data en de gebruikte software van belang is voor de voortzetting van de onderneming, kan men overwegen om een Escrow overeenkomst met de aanbieder aan te gaan. Dit garandeert dat u verder kunt als de aanbieder ophoudt te bestaan of overgenomen wordt door een andere onderneming waar u geen zaken mee wilt doen.