Miljoenenboete door datalek

De datalekken bij vliegtuigmaatschappij British Airways en hotelgigant Marriott leveren de bedrijven een miljoenenboete op!

De Britse gegevensbeschermingsautoriteit ( de Information Commissioner’s Office “ICO“) heeft besloten aan vliegtuigmaatschappij British Airways en hotelgigant Marriott een boete van ruim € 200 miljoen en respectievelijk € 110 miljoen op te leggen na een datalek bij de organisaties. Het gaat om de hoogste AVG-boetes tot nu toe! Beide bedrijven hebben inmiddels aangegeven in beroep te zullen gaan tegen de boetebesluiten. Wat ging er hier mis?

Vliegtuigmaatschappij British Airways

British Airways krijgt de boete opgelegd, omdat zij de gegevens van haar klanten onvoldoende had beveiligd, waardoor hackers in de periode van 21 augustus tot en met 5 september 2018 gegevens van meer dan 500.000 klanten in handen kregen. In voornoemde periode werden websitebezoekers van de website van British Airways omgeleid naar een valse website met als gevolg dat de reis-, adres- en betaalgegevens van de klanten niet naar British Airways, maar juist naar de hackers werden gestuurd.

Hotelketen Marriott

Op 8 september 2018 ontving Marriott een waarschuwing van haar interne beveiligingssysteem die betrekking had op de reserveringsdatabase van haar dochtermaatschappij Starwood. Marriott heeft het lek onderzocht en medio november 2018 kon zij de omvang van het datalek in grote lijnen vaststellen. Uit het interne onderzoek bleek dat de gegevens van een half miljard hotelgasten al sinds 2014 toegankelijk waren voor onbevoegden. Het ging o.a. om namen, geboortedata, telefoonnummers en e-mailadressen. In sommige gevallen zijn er ook gevoelige gegevens gelekt, zoals paspoortnummers en creditcardinformatie. Het datalek had daarmee ernstige nadelige gevolgen voor de betrokkenen, zoals financiële risico’s en identiteitsfraude.

Wat te doen bij een datalek?

Men spreekt van een datalek als persoonsgegevens zijn (i) vernietigd of verloren, (ii) gewijzigd, (iii) verstrekt of (iv) toegankelijk zijn gemaakt voor onbevoegden. Oftewel, de persoonsgegevens zijn terechtgekomen op een plek waar ze niet behoorden te zijn. Voorbeelden van datalekken zijn een kwijtgeraakte USB-stick, een gestolen laptop of – zoals bij British Airways en Marriott het geval was – een inbraak door een hacker.

De hoofdregel is dat organisaties alle datalekken binnen 72 uur moeten melden bij de Autoriteit Persoonsgegevens (“AP”). Dat is alleen anders als het onwaarschijnlijk is dat de inbreuk risico’s inhoudt voor de betrokkene(n). Daarnaast moeten organisaties een datalek ook melden bij de betrokkene(n) als de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van deze betrokkene(n). De privacytoezichthouders hebben guidelines gepubliceerd die organisaties kunnen helpen bij de vraag of ze al dan niet moeten melden.

Het is van belang om een datalek tijdig te melden. Zo heeft Uber een boete gekregen, omdat zij de AP en betrokkenen niet binnen 72 uur na het ontdekken van een lek had geïnformeerd.

Wilt u meer weten over dit onderwerp? Neem dan contact op met het privacyteam van Holla Advocaten.