Volledig scherm
© AP

Toezichthouder wil 204 miljoen euro boete voor British Airways na groot datalek

De privacytoezichthouder van de Britse overheid eist een boete van 183 miljoen pond (204 miljoen euro) van British Airways voor een datalek dat vorig jaar plaatsvond bij het luchtvaartbedrijf. Daarbij kwamen de gegevens van 500.000 klanten op straat te liggen.

Het gaat specifiek om een boete van 183,39 miljoen pond, omgerekend 204,54 miljoen euro, zo schrijft het Britse Information Commissioner’s Office (ICO) in een verklaring. Het zou de hoogste boete zijn die tot nu toe is uitgedeeld onder de AVG, de Europese privacywet die sinds mei 2018 van kracht is. Het bedrag bedraagt 1,5 procent van de totale jaaromzet in 2018 van het bedrijf. Onder de AVG kunnen toezichthouders een boete opleggen van maximaal vier procent van die omzet. De boete moet nog definitief worden uitgeschreven, op dit moment gaat het nog om een voorstel.

Volgens het ICO was het lek te wijten aan ‘slechte beveiligingsmaatregelen van het bedrijf’. ,,De data van mensen is persoonlijk”, zegt een woordvoerder van het ICO. ,,Als een organisatie verzuimt die tegen verlies, schade of diefstal te beschermen is dat meer dan alleen ongemakkelijk. Daarom is de wet helder: als persoonlijke gegevens je worden toevertrouwd, moet je daar goed mee omgaan.”

British Airways kan binnen 28 dagen bezwaar tegen de boete aantekenen. Dat gaat het bedrijf ook doen, heeft het al aangegeven. Volgens de ICO heeft het bedrijf goed meegewerkt aan het onderzoek en heeft het na het datalek verbeterde beveiligingsmaatregelen doorgevoerd.

Datalek

De boete gaat over een datalek in de zomer van 2018. Hackers wisten de systemen van British Airways binnen te dringen en daar wekenlang gegevens te stelen. Het is niet zeker wanneer dat precies begon. British Airways zei destijds zelf dat de hackers van 21 augustus tot en met 5 september actief waren, maar het ICO zegt dat de toegang al in juni verkregen werd. 

Aanvankelijk zei het bedrijf ook dat er gegevens van 380.000 klanten waren gestolen, maar onderzoek van het ICO liet zien dat het er ‘ongeveer 500.000’ waren. Uiteindelijk bleek dat naast namen en e-mailadressen ook creditcardgegevens waren buitgemaakt. Het zou gaan om de creditcardnummers zelf, de verloopdatums en zelfs de driecijferige cvv-codes. British Airways heeft zelf altijd volgehouden dat het die laatste codes niet bewaart.

British Airways heeft publiekelijk weinig details bekendgemaakt over de aard van het lek. Wel zei het bedrijf dat ‘de versleuteling van het bedrijf niet is getroffen’. ,,Het ging om andere methodes die erg geraffineerd waren”, zei CEO Álex Cruz vorig jaar. Beveiligingsexperts van RiskIQ schreven de hack toe aan Magecart, een vorm van malware die zogenoemde scripts injecteert op de betaalpagina’s van websites en webshops. Magecart werd eerder al op grote schaal ingezet bij een hack op Ticketmaster. Bij dat bedrijf wisten de hackers de website waarschijnlijk te kraken via een verouderde plug-in.

  1. Grap loopt uit de hand: 1,7 miljoen mensen willen aliens gaan zoeken op geheime basis Area 51

    Grap loopt uit de hand: 1,7 miljoen mensen willen aliens gaan zoeken op geheime basis Area 51

    Het is een Amerikaanse versie van Project X, maar dan in duizendvoud. Al 1,7 miljoen mensen hebben via Facebook aangegeven op te dagen als op 20 september het ultrageheime Area 51 - de plek in Nevada die de Amerikaanse luchtmacht gebruikt voor haar testen - wordt bestormd. En nog eens 1,3 miljoen mensen komen misschien, om nu eindelijk eens ‘die buitenaardse wezens te zien’ die daar verborgen worden gehouden. Budweiser sponsort het bier, maar de Amerikaanse luchtmacht is niet blij.