Nieuws Datalek British Airways

Recordboete van 204 miljoen euro dreigt voor British Airways na groot datalek

De Britse luchtvaartmaatschappij British Airways hangt een recordboete van 204 miljoen euro boven het hoofd, omdat het persoonsgegevens van klanten onvoldoende heeft beschermd. Hackers konden daardoor vorig jaar zomer de gegevens van honderdduizenden passagiers bemachtigen. 

De Britse privacywaakhond ICO stelt een boete van 204 miljoen euro voor British Airways, wat gelijk staat aan 1,5 procent van de jaaromzet in 2017. Beeld REUTERS

De hackers pleegden hun inbraak tussen 21 augustus en 5 september 2018. In die periode werden bezoekers van de website van British Airways omgeleid naar een andere website. Via deze valse site zouden de hackers van meer dan 500 duizend klanten persoonlijke data in handen hebben gekregen, zoals boekingsdetails, creditcard- en inloggegevens.

Na uitgebreid onderzoek stelt de Britse privacywaakhond ICO maandag een boete voor van 204 miljoen euro. Dat bedrag staat gelijk aan 1,5 procent van de jaaromzet van British Airways in 2017. ICO heeft geconstateerd dat de luchtvaartmaatschappij onvoldoende maatregelen heeft genomen om de persoonsgegevens van klanten te beschermen. Het bedrijf heeft nog 28 dagen om in beroep te gaan.

Door de nieuwe Algemene Verordening Gegevensbescherming (AVG) is een bedrijf verplicht datalekken te melden bij een privacywaakhond. De maximumboete is vastgesteld op 2 procent van de jaaromzet. Volgens ICO is het de hoogste boete die ze ooit heeft uitgedeeld en de eerste in Groot-Brittannië die valt onder de nieuwe Europese privacywetgeving.

Niet gebruikelijk

‘Boetes als deze zijn niet gebruikelijk’, reageert Nico van Eijk, hoogleraar Informatierecht bij de UvA. ‘De ICO geeft een signaal af aan de andere autoriteiten voor persoonsgegevens. De instelling handelt snel en houdt zich aan een Angelsaksisch model, waarin de geleden schade volledig tot zijn recht moet komen in de hoogte van de boete.’

Van Eijk zegt dat we moeten afwachten hoe hoog de boete uiteindelijk gaat zijn. ‘De boete voor British Airways wordt nog getoetst door rechters. Het is moeilijk te zeggen wat zij zullen oordelen, omdat ze nog geen vergelijkbare zaken hebben behandeld.’

Er zijn meer grote bedrijven die afgelopen jaar een boete ontvingen voor fouten in de gegevensbescherming. In oktober 2018 veroordeelde ICO Facebook nog tot een boete van 500 duizend euro, vanwege haar rol in het schandaal rondom Cambridge Analytica. De Nederlandse Autoriteit Persoonsgegevens legde in november 2018 een boete van 600 duizend euro op aan het taxibedrijf Uber. Het was de eerste keer dat de Nederlandse privacywaakhond een boete oplegde.

De boetes voor Facebook en Uber vielen nog onder de oude privacywetgeving. Door de AVG kunnen veel hogere boetes worden uitgedeeld. Zo kreeg Google in januari 2019 een boete van 50 miljoen euro van de Franse Autoriteit Persoonsgegevens, omdat het bedrijf had verzuimd gebruikers goed te informeren over de data die het verzamelt.

Overgangsfase

Volgens Van Eijk zitten veel bedrijven in een overgangsfase na de komst van de nieuwe privacywetgeving. ‘Voor veel bedrijven vormen persoonsgegevens de kern van hun businessmodel. Ze gaan daar vaak niet zorgvuldig mee om, maar dat zijn ze wel verplicht door de nieuwe wetgeving.’

Alex Cruz, ceo van British Airways, is verrast en teleurgesteld over de uitkomst van het onderzoek, zei hij tegen de BBC. ‘We hebben snel gereageerd op deze criminele poging om de gegevens van onze klanten te stelen. We hebben geen bewijs gevonden van verdachte activiteiten op de accounts die onderdeel waren van het datalek.’ De luchtvaartmaatschappij biedt excuses aan voor het ongemak dat de datalekken hebben veroorzaakt en heeft zijn beveiligingssysteem aangepast.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden