Home / Nieuws & Blogs / Recordboete van 205 miljoen euro dreigt voor datalek British Airways

Recordboete van 205 miljoen euro dreigt voor datalek British Airways

9 juli 2019

Luchtvaartmaatschappij British Airways krijgt, als het aan de Britse toezichthouder ICO ligt, de hoogste boete op grond van de AVG tot nu toe. ICO heeft het voornemen bekendgemaakt om een boete van 205 miljoen euro op te leggen. Oorzaak is een datalek in 2018 waarbij persoonsgegevens van ongeveer 500.000 personen in verkeerde handen zijn gevallen. British Airways had volgens ICO meer moeten doen om de gegevens te beveiligen.

Nepwebsite

Gebruikers van de website en de mobiele app van de maatschappij werden ongemerkt doorverwezen naar een frauduleuze nepversie van de boekingsomgeving. De persoonsgegevens die daar werden ingevuld zijn onderschept door hackers, waaronder de logingegevens, boekingsgegevens en creditcardgegevens.

Ongeveer 500.000 personen zijn slachtoffer geworden van de hack. Zij zijn vorig jaar al geïnformeerd over het datalek. De AVG schrijft voor dat de verwerkingsverantwoordelijke betrokkenen onverwijld over een datalek moet informeren wanneer het datalek een hoog risico voor hen meebrengt. Daarvan is hier sprake, aangezien de creditcardgegevens inclusief veiligheidscode zijn gelekt. Daardoor konden de ontvangers met de creditcards mogelijk betalingen uitvoeren.

Boete op recordhoogte

De hoogte van de boete is astronomisch te noemen: 205 miljoen euro is meer dan vier keer zo hoog als de onttroonde AVG-recordboete tot nu toe, eerder dit jaar uitgedeeld aan Google. Het bedrag komt neer op 1,5% van de omzet van vorig jaar, terwijl de maximale boete bij overtreding van de beveiligingseisen 2% van de jaaromzet is. Dat de overtreder het datalek zelf heeft gemeld en daarna medewerking heeft verleend aan de toezichthouder heeft blijkbaar weinig effect gehad. In haar korte verklaring noemt ICO slechte beveiligingsmaatregelen als enige reden voor de voorgenomen boete.

British Airways heeft al aangegeven de voorgenomen boete niet zomaar te accepteren en gaat haar zienswijze nog indienen bij ICO. Daarnaast heeft men ondertussen naar eigen zeggen wel de beveiliging verbeterd en excuses aangeboden.