Hoge boetes voor British Airways en Marriott na datalek

De Britse gegevensbeschermingsautoriteit (ICO) heeft aangekondigd de vliegtuigmaatschappij British Airways en de Amerikaanse hotelketen Marriott een (record!)boete van, respectievelijk, ruim 200 miljoen euro en 110 miljoen euro op te leggen na een datalek.Bij British Airways zijn medio vorig jaar persoonsgegevens van ongeveer 500.000 klanten bij hackers terecht gekomen. Volgens ICO gaat het om inloggegevens, NAW-gegevens én bankrekeningnummers. Klanten werden door de hack via de website – bij het reserveren van een vlucht – omgeleid naar een onveilige website. Zo kregen hackers toegang tot de persoonsgegevens. ICO verwijt British Airways dat zij onvoldoende maatregelen had getroffen om de persoonsgegevens van haar klanten te beveiligen, waardoor persoonsgegevens in de verkeerde handen terecht zijn gekomen. British Airways had er dus (aantoonbaar) meer aan moeten doen om het datalek te voorkomen.

Datum:  15 juli 2019

Gewijzigd  14 november 2023

Geschreven door:  Annemarie van Woudenberg

Leestijd:  +/- 2 minuten

De Britse gegevensbeschermingsautoriteit (ICO) heeft aangekondigd de vliegtuigmaatschappij British Airways en de Amerikaanse hotelketen Marriott een (record!)boete van, respectievelijk, ruim 200 miljoen euro en 110 miljoen euro op te leggen na een datalek.

Bij British Airways zijn medio vorig jaar persoonsgegevens van ongeveer 500.000 klanten bij hackers terecht gekomen. Volgens ICO gaat het om inloggegevens, NAW-gegevens én bankrekeningnummers. Klanten werden door de hack via de website – bij het reserveren van een vlucht – omgeleid naar een onveilige website. Zo kregen hackers toegang tot de persoonsgegevens. ICO verwijt British Airways dat zij onvoldoende maatregelen had getroffen om de persoonsgegevens van haar klanten te beveiligen, waardoor persoonsgegevens in de verkeerde handen terecht zijn gekomen. British Airways had er dus (aantoonbaar) meer aan moeten doen om het datalek te voorkomen.

Ook Marriott kreeg te maken met een hack. De hackers waren binnengedrongen in het reserveringssysteem. Volgens ICO ging het niet om een eenmalig datalek, maar zijn gegevens van ruim 300 miljoen klanten in een periode van vier jaar gestolen. De hack werd - helaas - pas in november vorig jaar ontdekt. Het ging om NAW-gegevens, e-mailadressen, paspoortnummers en telefoonnummers.

Uit het (mogelijk) opleggen van deze boetes volgt dat er daadwerkelijk op naleving van de privacyregelgeving wordt gehandhaafd.

Goede beveiliging

Bij een datalek gaat het om gevallen waarin er sprake is van een ongeoorloofde of onrechtmatige verwerking van persoonsgegevens. Dat geldt ook voor het (on)opzettelijk verlies, de vernietiging of beschadiging van persoonsgegevens. Denk bijvoorbeeld aan een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak door een hacker – zoals bij British Airways en Marriott het geval was – of een malware-besmetting.

Volgens de GDPR, in Nederland bekend als de Algemene verordening gegevensbescherming (hierna: AVG), moeten organisaties passende (organisatorische en technische) maatregelen nemen om persoonsgegevens te beveiligingen. Zo voorkom je als organisatie het ontstaan van een datalek. Denk dus niet alleen aan het hebben van een goede technische beveiliging (bijvoorbeeld (twee factor) authenticatie, pseudonimiseren/versleuteling gegevens, firewalls, back-up, logging etc.) maar ook aan het treffen van organisatorische maatregelen. Van belang is in dat kader bijvoorbeeld het beperken van de toegang tot de persoonsgegevens (alleen personen die vanuit hun functie toegang moeten hebben) en het zorgen voor een deugdelijke privacybeleid waaruit onder meer volgt hoe binnen de organisatie wordt omgegaan met persoonsgegevens, welke verplichtingen de organisatie heeft en wat te doen bij een datalek of een ander beveiligingsincident. Zorg ook dat het privacybeleid wordt nageleefd (toezicht houden dus).

Voorkom (hoge) boetes

De AVG stelt strenge eisen aan de omgang met datalekken. Zo moet een organisatie ieder datalek documenteren - inclusief de feiten over het datalek, de gevolgen daarvan en de naar aanleiding van het datalek genomen maatregelen. Daarnaast geldt de meldplicht datalekken, die inhoudt dat organisaties binnen 72 uur (nadat het datalek is ontdekt) melding van het datalek moeten maken bij de nationale privacytoezichthouder, in Nederland de Autoriteit Persoonsgegevens. In sommige gevallen moet er ook melding worden gedaan aan de betrokkenen zelf. Dat is aan de orde als de inbreuk vermoedelijk ongunstige gevolgen heeft voor de betrokkenen.

Of een organisatie een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van de betrokkenen. De Europese privacytoezichthouders hebben de Guidelines meldplicht datalekken gepubliceerd. Deze richtsnoeren zijn bedoeld om organisaties te helpen bij het (wel of niet) melden van een datalek.

Het niet of niet tijdig melden van een datalek is in strijd met de AVG. De Europese privacytoezichthouders kunnen in dat geval hoge boetes opleggen.

Daarom is het van belang dat organisaties het risico op een datalek zo klein mogelijk maken. De beveiliging van data, zowel technisch als organisatorisch, binnen de organisatie moet is in dat kader continu een punt van aandacht zijn. Zorg dus dat uw organisatie er aan enerzijds alles aan heeft gedaan om een datalek te voorkomen en dat er anderzijds een duidelijk protocol/procedure binnen uw organisatie is geïmplementeerd, waaruit volgt hoe met een datalek moet worden omgegaan.

Wilt u hier meer over weten? Neem dan gerust contact met mij op.


Blijf scherp

Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.