Hack van British Airways: waarom recordboete van £ 183 miljoen veel groter had kunnen zijn?
Datalek bij luchtvaartmaatschappij was eerste grote zaak onder nieuwe AVG-regels
Pascal Pavani/AFP/Getty Images
British Airways heeft een boete van £ 183 miljoen gekregen voor een grote inbreuk op de beveiliging vorig jaar - de grootste boete die ooit is uitgedeeld door het Britse Information Commissioner's Office (ICO).
De luchtvaartmaatschappij zegt verrast en teleurgesteld te zijn over het besluit en is van plan in beroep te gaan.
Maar experts wijzen erop dat de toezichthouder BA een boete had kunnen geven van in totaal meer dan het dubbele van dat bedrag, onder de Europese Algemene Verordening Gegevensbescherming (AVG). Dus wat zijn de nieuwe regels en waarom was deze zaak zo belangrijk?
Wat gebeurde er in de BA-hack?
Op 6 september maakte de luchtvaartmaatschappij bekend dat bij een datalek de persoons- en betaalgegevens van tienduizenden klanten waren gestolen.
Gegevens van betaalkaarten, waaronder het nummer, de vervaldatum en de driecijferige beveiligingscode of ‘kaartverificatiewaarde’ (CVV) zijn onrechtmatig uit het reserveringssysteem gehaald, meldt De onafhankelijke .
BA zei dat hackers een geavanceerde, kwaadaardige criminele aanval hadden uitgevoerd, waarbij 382.000 transacties op haar website en app tussen 21 augustus en 5 september in gevaar waren gebracht. De politie en de relevante autoriteiten waren op de hoogte gebracht, voegde het bedrijf eraan toe.
De bazen van BA verontschuldigden zich bij de getroffen mensen en zeiden dat de inbreuk was opgelost en dat de gestolen gegevens geen reis- of paspoortgegevens bevatten. Het bedrijf was begonnen contact op te nemen met klanten op het moment dat de inbreuk werd ontdekt, voegde de luchtvaartmaatschappij eraan toe.
De ICO zei deze week dat gebruikers van de website waren omgeleid naar een frauduleuze site, waar gegevens van ongeveer 500.000 mensen werden verzameld.
Na de bekendmaking van de boete zei BA-voorzitter Alex Cruz maandag: British Airways reageerde snel op een criminele daad om gegevens van klanten te stelen. We hebben geen bewijs gevonden van fraude/frauduleuze activiteiten op accounts die aan de diefstal zijn gekoppeld.
Waar komt de AVG van pas?
De BA-boete is de eerste die openbaar wordt gemaakt onder de nieuwe regels, die in mei 2018 van kracht zijn geworden, de grootste opschudding op het gebied van gegevensprivacy in 20 jaar, zegt de BBC .
Tot nu toe was de grootste boete £ 500.000, opgelegd aan Facebook voor zijn rol in het Cambridge Analytica-gegevensschandaal. Dat was het maximum dat was toegestaan onder de oude gegevensbeschermingsregels die golden vóór de AVG, zegt de omroep.
De nieuwe regels staan een maximale boete toe van 4% van de omzet van de schuldige, wat voor BA 488 miljoen pond zou zijn geweest. In plaats daarvan bedraagt de opgelegde boete 1,5% van de omzet van de luchtvaartmaatschappij in 2017 en is deze aanzienlijk lager dan het maximum van £ 488 miljoen.
De zaak heeft als eerste in zijn soort veel belangstelling gewekt, zoals cyberbeveiligingsjournalist Kate O'Flaherty opmerkte in een artikel voor Forbes afgelopen september.
Ian Thornton-Trump, een veteraan in de cyberbeveiligingsindustrie, vertelde O'Flaherty dat het een moeilijke beslissing zou zijn voor de ICO. Iedereen wil dat de AVG tanden heeft, dus de ICO moet hier de juiste balans vinden, legde hij uit.
De BA-inbreuk was niet zo erg als sommige andere recente hacks, zoals die van Equifax in 2017 , en de maximale boete zou BA tot insolventie kunnen brengen, voegde Thornton-Trump eraan toe.
Hij voorspelde een boete in het bereik van £ 5 miljoen tot £ 10 miljoen, en voegde eraan toe: dat is aanzienlijk, maar het brengt het bedrijf niet in gevaar en is niet 'te politiek'.
Willie Walsh, chief executive van de International Consolidated Airlines Group (IAG), het moederbedrijf van BA, protesteerde tegen de boete van £ 183 miljoen die deze week werd aangekondigd: We zijn van plan alle passende stappen te ondernemen om de positie van de luchtvaartmaatschappij krachtig te verdedigen, inclusief het indienen van de nodige beroepen .














