Test

Dit is een popup

British Airways riskeert hoogste GDPR-boete ooit na hacking

British Airways krijgt nu de gevolgen voorgeschoteld van zijn datalek vorige zomer.

De Britse GDPR-toezichthouder ICO wil British Airways een boete van 204 miljoen euro opleggen.

Datalek

In september 2018 kreeg British Airways te maken met een datalek (door hacking) waarbij de informatie van meer dan 500.000 klanten. Concreet ging het om info van kredietkaarten, adressen, namen, en details van geboekte tickets. Volgens het Britse ICO (Infomation Commissioner’s Office) ging het om een zeer grote lek dat het gevolg is van een veel te weinig beveiligd systeem.

Ook de Britse luchtvaartmaatschappij zelf stelde toen dat het om ‘een zeer geavanceerde, criminele aanval op hun site’ ging.

Meer dan een lekje

Elizabeth Denham, GDPR-officer bij ICO laat weten dat het uitlekken van persoonlijke data niet gewoon een klein ongemak is. Het gaat om fundamentele privacyrechten, en die zijn geschonden. Onder andere om die reden legt het ICO de Britse luchtvaartmaatschappij zo’n grote boete op.

British Airways zelf reageerde snel op de berichtgeving. CEO Alex Cruz liet weten dat het bedrijf zeer ‘teleurgesteld en ontgoocheld’ is in de beslissing van ICO. Volgens Cruz heeft geen enkele klant fraude gehad (met bv. een bankrekening) die gelinkt was aan de hacking. Hij benadrukt dus dat geen van de 500.000 blootgestelde klanten last heeft gehad van het datalek. En wel om die reden wil de maatschappij in beroep gaan tegen deze beslissing.

“Persoonlijke informatie is persoonlijk. Dat moet zo blijven en de wet is duidelijk.” – Elizabeth Denham, Britse Dataprotectie-waakhond

Cambridge Analytica

De opgestelde boete door ICO ligt wel een stuk hoger dan de boete die Facebook kreeg met zijn Cambridge Analytica-schandaal. Die boete was 500.000 pond. Destijds werd de persoonlijke info van meer dan 87 miljoen gebruikers blootgesteld. Je ziet het dus, de boetes zijn niet in verhouding tot de grootte van de datalek.

Echter moeten die cijfers wel verklaard worden. De toenmalige boete voor Facebook viel nog onder de Britse Data Protection-wet van 1998. Daar was 500.000 pond het hoogste bedrag dat kon gevraagd worden. Ondertussen zijn er GDPR-wetten neergestreken en die laten de autoriteit toe om een maximum van 4% van de wereldwijde omzet te vragen. De huidige boete waar de Britse luchtvaartmaatschappij nu naar kijkt is 1,5% van zijn wereldwijde omzet in 2017.

De Britse GDPR-toezichthouder ICO wil British Airways een boete van 204 miljoen euro opleggen.

Datalek

In september 2018 kreeg British Airways te maken met een datalek (door hacking) waarbij de informatie van meer dan 500.000 klanten. Concreet ging het om info van kredietkaarten, adressen, namen, en details van geboekte tickets. Volgens het Britse ICO (Infomation Commissioner’s Office) ging het om een zeer grote lek dat het gevolg is van een veel te weinig beveiligd systeem.

Ook de Britse luchtvaartmaatschappij zelf stelde toen dat het om ‘een zeer geavanceerde, criminele aanval op hun site’ ging.

Meer dan een lekje

Elizabeth Denham, GDPR-officer bij ICO laat weten dat het uitlekken van persoonlijke data niet gewoon een klein ongemak is. Het gaat om fundamentele privacyrechten, en die zijn geschonden. Onder andere om die reden legt het ICO de Britse luchtvaartmaatschappij zo’n grote boete op.

British Airways zelf reageerde snel op de berichtgeving. CEO Alex Cruz liet weten dat het bedrijf zeer ‘teleurgesteld en ontgoocheld’ is in de beslissing van ICO. Volgens Cruz heeft geen enkele klant fraude gehad (met bv. een bankrekening) die gelinkt was aan de hacking. Hij benadrukt dus dat geen van de 500.000 blootgestelde klanten last heeft gehad van het datalek. En wel om die reden wil de maatschappij in beroep gaan tegen deze beslissing.

“Persoonlijke informatie is persoonlijk. Dat moet zo blijven en de wet is duidelijk.” – Elizabeth Denham, Britse Dataprotectie-waakhond

Cambridge Analytica

De opgestelde boete door ICO ligt wel een stuk hoger dan de boete die Facebook kreeg met zijn Cambridge Analytica-schandaal. Die boete was 500.000 pond. Destijds werd de persoonlijke info van meer dan 87 miljoen gebruikers blootgesteld. Je ziet het dus, de boetes zijn niet in verhouding tot de grootte van de datalek.

Echter moeten die cijfers wel verklaard worden. De toenmalige boete voor Facebook viel nog onder de Britse Data Protection-wet van 1998. Daar was 500.000 pond het hoogste bedrag dat kon gevraagd worden. Ondertussen zijn er GDPR-wetten neergestreken en die laten de autoriteit toe om een maximum van 4% van de wereldwijde omzet te vragen. De huidige boete waar de Britse luchtvaartmaatschappij nu naar kijkt is 1,5% van zijn wereldwijde omzet in 2017.

Beveiligingbritish airwaysbusinesscambridge analyticagdprhackingnieuws

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!