British Airways heeft een boete van £ 20 miljoen opgelegd wegens datalek

British Airways heeft een boete van £ 20 miljoen opgelegd wegens datalek Gepubliceerde duur14 uur geledenimage copyrightGetty Images

British Airways heeft een boete van £ 20 miljoen ($ 26 miljoen) gekregen van de Information Commissioner’s Office (ICO) voor een datalek dat meer dan 400.000 klanten heeft getroffen.

De inbreuk vond plaats in 2018 en had gevolgen voor zowel persoonlijke als creditcardgegevens.

De boete is aanzienlijk lager dan de £ 183 miljoen die de ICO oorspronkelijk zei te willen uitgeven in 2019.

Het zei dat er rekening was gehouden met “de economische impact van Covid-19”.

Het is echter nog steeds de grootste boete die de ICO tot nu toe heeft opgelegd.

Het incident vond plaats toen de systemen van BA werden gecompromitteerd door zijn aanvallers en vervolgens werden aangepast om de gegevens van klanten te verzamelen terwijl ze werden ingevoerd.

Het duurde twee maanden voordat BA hiervan op de hoogte werd gebracht door een beveiligingsonderzoeker en vervolgens de ICO op de hoogte bracht.

Hoe zijn hackers bij British Airways terechtgekomen? De baas van BA verontschuldigt zich voor datalek

De gestolen gegevens omvatten inlog-, betaalkaart- en reisboekingsgegevens en naam- en adresgegevens.

Een volgend onderzoek kwam tot de conclusie dat toentertijd onvoldoende beveiligingsmaatregelen, zoals multi-factor authenticatie, aanwezig waren.

De ICO merkte op dat sommige van deze maatregelen beschikbaar waren op het Microsoft-besturingssysteem dat BA op dat moment gebruikte.

“Wanneer organisaties slechte beslissingen nemen over de persoonlijke gegevens van mensen, kan dat een reële impact hebben op het leven van mensen. De wet geeft ons nu de tools om bedrijven aan te moedigen betere beslissingen te nemen over data, inclusief investeringen in up-to-date beveiliging”, aldus Voorlichtingscommissaris Elizabeth Denman.

British Airways zei dat het klanten had gewaarschuwd zodra het de aanval op zijn systemen had ontdekt.

“We zijn blij dat de ICO erkent dat we sinds de aanval aanzienlijke verbeteringen hebben aangebracht in de beveiliging van onze systemen en dat we volledig hebben meegewerkt aan het onderzoek”, aldus een woordvoerder.

Functionaris voor gegevensbescherming Carl Gottlieb zei dat £ 20 miljoen in het huidige klimaat een “enorme” boete is.

“Het laat zien dat de ICO zaken bedoelt en laat bedrijven die problemen hebben met hun tekortkomingen op het gebied van gegevensbescherming niet uit de weg gaan”, zei hij.

Het heeft meer dan twee jaar geduurd voordat BA de muziek onder ogen kreeg over dit uiterst ernstige incident.

Het bedrijf heeft de gegevensbeschermingswet overtreden en zichzelf niet beschermd tegen te voorkomen cyberaanvallen. Vervolgens kon het de hack niet detecteren totdat de schade was toegebracht aan honderdduizenden klanten.

De vertraging tussen incident en boete heeft de wenkbrauwen doen fronsen in privacykringen, maar ik begrijp dat de Information Commissioner’s Office methodisch heeft gewerkt om het goed te krijgen. Dit is de eerste grote boete van de commissaris onder de EU-gegevensverordening AVG en werd door de rest van Europa nauwlettend in de gaten gehouden als een mogelijk mijlpaalbesluit.

Het uiteindelijke bedrag van £ 20 miljoen is een schok geweest voor velen die verwachtten dat het dichter bij de aanvankelijk voorgestelde £ 183 miljoen zou liggen, maar het is nog steeds een belangrijk moment voor gegevensprivacy en GDPR. Andere bedrijven zullen de boete beschouwen als een vorm van dingen die komen gaan als ze ook de klanten niet beschermen.

In een post-Covid-wereld is de ICO misschien niet zo zachtaardig.

Verwante onderwerpenGegevenslekkenBedrijvenInformation Commissioner’s OfficeBritish AirwaysMeer over dit verhaal

Inbreuk door British Airways: hoe kwamen hackers binnen?

Gepubliceerd 7 september 2018

British Airways wordt geconfronteerd met een recordboete van £ 183 miljoen voor datalek

Gepubliceerd 8 juli 2019.