In september 2018 kondigde de toonaangevende luchtvaartmaatschappij British Airways aan dat ze het slachtoffer waren geworden van een datalek en dat er gegevens van klanten waren gestolen. Het bedrijf liet weten dat de diefstal had plaatsgevonden tussen 21 augustus 2018 en 5 september 2018 en dat maar liefst 380.000 transacties getroffen waren.
Dit datalek is niet alleen belangrijk omwille van de omvang en het duidelijke effect dat het zal hebben op de mensen van wie de gegevens gestolen werden, maar ook omwille van het feit dat dit een van de eerste grote gevallen van gegevensverlies is sinds de introductie van de Algemene verordening gegevensbescherming (General Data Protection Regulation - GDPR). De AVG is in mei 2018 in werking getreden en biedt bedrijven een modern kader om hun vereisten op het gebied van gegevensbeveiliging te begrijpen, alsook het verbeteren van de bevoegdheden van de regelgevers en het verhogen van de maximumboetes.
In dit artikel bekijken we hoe goed British Airways het datalek heeft aangepakt, of ze zich aan de regels van de AVG hebben gehouden en wat de mogelijke uitkomst kan zijn.
Wat is er gebeurd?
De directeur van BA beschreef het lek als een 'kwaadaardige criminele aanval', maar verder gaf het bedrijf geen specifieke details over hoe de gegevens werden gestolen. Het lek had betrekking op boekingen die tijdens een periode van 15 dagen werden gemaakt. Persoonlijke en financiële gegevens werden gecompromitteerd, maar er gingen geen paspoortinformatie of reisgegevens verloren.
Cyberbeveiligingsexperts denken dat hackers een aanval konden uitvoeren die vergelijkbaar is met een digitale versie van skimming, waarbij gegevens worden gekopieerd op het moment dat ze in het systeem werden ingevoerd tijdens het aankoopproces.
Hoe heeft de AVG voor verandering gezorgd?
Vóór de introductie van de AVG waren er talloze voorbeelden van overheden die nog grotere bedrijven hoge boetes oplegden voor het niet adequaat beschermen van gegevens. Het beste voorbeeld van een boete, in de stijl van de AVG, kwam in 2016. Toen kreeg de berichtendienst WhatsApp een boete van €10.000 per dag omdat deze niet voldeed aan de Nederlands regelgeving inzake databeheer.
Uiteindelijk werd de AVG geïntroduceerd om regelgevende instanties meer bevoegdheden te geven om boetes op te leggen voor het overtreden van regels inzake gegevensbescherming. De introductie van de AVG heeft niet alleen het maximumbedrag van de boete verhoogd die een bedrijf moet betalen bij een datalek, maar heeft er ook voor gezorgd dat deze boetes makkelijker opgelegd en geïnd kunnen worden.
Heeft British Airways correct gehandeld?
Het is belangrijk te bepalen of British Airways volgens de regels van de AVG heeft gehandeld om te weten wat het bedrijf kan verwachten op het vlak van boetes en andere strafmaatregelen. De AVG bepaalt dat organisaties een datalek moeten melden binnen 72 uur nadat ze dit ontdekt hebben. British Airways maakte het datalek een dag na de ontdekking bekend en gaf specifieke details over wie getroffen was en het soort gegevens dat gecompromitteerd zou kunnen zijn.
Toch werd het bedrijf slachtoffer van een aanval en dat kan erop wijzen dat ze onvoldoende maatregelen hadden genomen om de vertrouwelijke gegevens van hun klanten te beschermen.
Een testcase voor de AVG?
Wat misschien nog het meest interessant is aan deze zaak, is dat dit een van de eerste echt belangrijke datalekken bij een groot bedrijf is, sinds de invoering van de AVG. Dat betekent dat veel organisaties zullen nagaan welke boete ze kunnen verwachten als ze met iets dergelijks geconfronteerd worden – een testcase voor de nieuwe regelgeving en hoe deze wordt toegepast.
Volgens sommigen zal van British Airways een voorbeeld worden gemaakt, om organisaties te tonen dat ze cyberbeveiliging ernstig moeten gaan nemen. Anderzijds heeft British Airways zich aan de richtlijnen van de AVG gehouden door hun klanten te informeren. De regelgevende instanties hebben een verantwoordelijkheid om redelijk en eerlijk te zijn.
Welke boete kan British Airways krijgen?
In theorie kan British Airways een boete van €20 miljoen of 4 procent van hun wereldwijde omzet krijgen – afhankelijk van welk bedrag het hoogst is (en in het geval van British Airways zou dit hun wereldwijde omzet zijn). Wat het datalek betreft, is dit geen echt grootschalig of catastrofaal dataverlies. Volgens sommige cijfers in de industrie zou de boete tussen €5 miljoen en €10 miljoen kunnen bedragen.
De hoogste boete die ooit werd opgelegd door de Information Commissioner's Office (ICO) was £500.000. Het is dus afwachten of het bedrijf hogere boetes krijgt. Naast de boetes kan in principe elke persoon die getroffen werd door het datalek in aanmerking komen voor een compensatie van het bedrijf, waardoor de uiteindelijke kosten enorm hoog kunnen oplopen.
Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een gevarieerder aanbod te geven. De standpunten die worden uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.