GDPR boete British Airways: gehackte onderneming dubbel slachtoffer?

De Britse toezichthoudende autoriteit, de British Information Commissioner’s Office (ICO), liet weten van plan te zijn om een GDPR boete op te leggen van £ 183 miljoen (omgerekend € 243,47 miljoen) aan British Airways. Dat is 1,5% van de volledige omzet van het bedrijf in het boekjaar 2017.

Het gaat om een voorgestelde boete. Dat betekent dat British Airways nu de gelegenheid krijgt om een standpunt in te nemen en haar opmerkingen op de bevindingen, het onderzoek en de boete voorgesteld door de ICO te formuleren.

• Lees ook: 1 jaar GDPR: een overzicht van handhaving, waarschuwingen en boetes

Wat is er gebeurd?

Een cyberaanval op British Airways

De aanleiding voor de voorgestelde GDPR-boete is een cyberaanval op de Britse luchtvaartmaatschappij. Sinds juni 2018 werd het verkeer naar de officiële website van British Airways door cybercriminelen omgeleid naar een andere frauduleuze website. De cybercriminelen zouden zo persoonsgegevens van ongeveer 500.000 klanten hebben verkregen. Dat bleek uit onderzoek van de ICO.

Een onderzoek door de ICO als leidende autoriteit

De Britse toezichthoudende autoriteit startte het onderzoek nadat het datalek in september 2018 door de luchtvaartmaatschappij aan hen werd gemeld. Uit dat onderzoek bleek dat verschillende categorieën van persoonsgegevens waren gelekt. Het ging om gegevens zoals inloggegevens, boekingsdetails, naam- en adresgegevens, maar ook financiële gegevens zoals de vervaldata en de driecijferige CVC-code van de kredietkaart. British Airways stelt echter op haar website dat er geen reisdata of paspoortdetails zouden zijn gelekt.

Het onderzoek wordt gevoerd door de ICO als leidende toezichthoudende autoriteit in het kader van het one-stop shop mechanisme. Dit mechanisme houdt in dat de toezichthoudende autoriteit van de hoofdvestiging in de EU het onderzoek zal voeren en hiervoor zal samenwerken met de andere toezichthoudende autoriteiten. Deze autoriteiten zullen ook opmerkingen kunnen formuleren op de voorgestelde boete alvorens de ICO een definitieve boete zal opleggen.

De voorgestelde administratieve geldboete

Potentieel de hoogste GDPR boete tot nu toe

De GDPR bepaalt dat een administratieve geldboete niet hoger mag zijn dan 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de betrokken onderneming (artikel 83 GDPR). De boete van £ 183,39 miljoen (omgerekend € 243,47 miljoen) die de ICO voorstelt is gelijk aan 1,5% van de jaaromzet van British Airways in 2018.

De voorgestelde boete ligt dus binnen de grenzen bepaald door de GDPR, maar het zou gaan om de tot op heden hoogste boete opgelegd door een toezichthoudende autoriteit. Deze potentiële boete bedraagt immers het viervoud van de boete die eerder dit jaar aan Google werd opgelegd door de CNIL.

Factoren die een rol spelen bij de berekening

De ICO dient in elk geval rekening te houden met de elementen uit artikel 83 van de GDPR voor de berekening van de boete. Dit artikel bepaalt ook dat elke boete doeltreffend, evenredig en afschrikkend dient te zijn. De ICO heeft echter nog geen informatie vrijgegeven omtrent de precieze berekening van de boete, maar de volgende elementen lijken ons relevant bij deze berekening:

• Een eerste element is dat de omvang van het datalek groter was dan gemeld door de luchtvaartmaatschappij. British Airways beweerde op 6 september 2018 dat er 380 000 betrokkenen zouden zijn bij de datalek, maar onderzoek van de ICO stelde dat het om 500 000 betrokkenen zou gaan. Wellicht heeft ICO dit element mee in rekening genomen bij de berekening van de boete.
• Een tweede element is de aard van de gelekte persoonsgegevens, namelijk financiële gegevens. Hoewel deze gegevens geen gevoelige gegevens zijn in de zin van artikel 9 van de GDPR, kan een lek van dergelijke gegevens tot schade leiden voor de betrokkenen. Er was immers voldoende informatie – waaronder namen van klanten, factuuradressen en CVC-codes – gelekt om online transacties te doen met geld van de betrokkenen.
• Een derde element bij de berekening van de boete is het ontbreken van passende beveiligingsmaatregelen. De cyberaanval is waarschijnlijk mede mogelijk gemaakt doordat British Airways onvoldoende passende technische en organisatorische beveiligingsmaatregelen had genomen zoals vereist door de GDPR (artikel 32 GDPR).

British Airways gaat niet akkoord met de boete

Volgens de ICO heeft British Airways meegewerkt aan het onderzoek en de luchtvaartmaatschappij heeft ondertussen haar beveiligingssysteem verbeterd, maar dit bleek onvoldoende om de ICO te kunnen overtuigen.

British Airways liet ondertussen in een mededeling weten dat ze verrast en teleurgesteld zijn door de mogelijke boete die de ICO in haar mededeling voorstelt. Volgens de CEO reageerde het bedrijf snel naar aanleiding van de diefstal van haar klantgegevens. In dezelfde mededeling liet International Airlines Group – de groep waartoe British Airways behoort – weten dat ze niet akkoord gaan met de boete voorgesteld door de ICO. Zij zullen alle maatregelen nemen om de positie van het bedrijf te verdedigen en, indien nodig, hoger beroep aan te tekenen tegen de boete.

Het valt nog af te wachten of de ICO voet bij stuk houdt en deze monsterboete daadwerkelijk zal opleggen. Ondertussen kunnen getroffen consumenten met al hun vragen terecht op de website van British Airways.

Zes voorlopige lessen uit deze zaak  

• Houd rekening met de GDPR basisprincipes: verwerk enkel persoonsgegevens die noodzakelijk zijn overeenkomstig het principe van minimale gegevensverwerking. Bijvoorbeeld, sla geen CVC-code langdurig op indien dat niet nodig is.
• Neem passende technische en organisatorische maatregelen: bij het verwerken van persoonsgegevens moeten de passende maatregelen genomen worden om de beveiliging te garanderen.
• Let extra op met financiële gegevens: wie financiële gegevens verwerkt, moet extra voorzichtig zijn. Neem gepaste maatregelen die het risico weerspiegelen.
• Meld een datalek op tijd: indien er een risico is, meld het datalek dan binnen 72 uren aan de bevoegde toezichthoudende autoriteit en deel alle informatie mee die op dat moment beschikbaar is.
• Doe een bijkomende melding indien nodig: een melding kan gebeuren in verschillende fasen. Dit betekent dat de eerste melding nog kan worden bijgesteld door een tweede melding. Bijvoorbeeld, dat kan nodig zijn indien na intern onderzoek blijkt dat het aantal getroffen betrokkenen groter is dan initieel gedacht.
• Vermijd dubbel verlies: wie onvoldoende passende technische en organisatorische maatregelen neemt en geviseerd wordt door hackers leidt dubbel verlies, namelijk een grote deuk in het imago en een hoge GDPR boete.