British Airways krijgt £20M i.p.v. £183M boete, o.a. wegens Covid-19

Het incident in kwestie betreft een schending van de Algemene verordening gegevensbescherming (AVG), doordat de beveiliging van de klantgegevens van BA (ver) ondermaats was. Dit heeft vervolgens in 2018 geleid tot een cyberaanval op de systemen van BA, waarbij de gegevens van meer dan 400.000 klanten gecompromitteerd zijn. De getroffen gegevens omvatten onder meer creditcard gegevens, vaak in combinatie met de CVV code.

Daarbij komt dat BA de cyberaanval, die op 22 juni 2018 plaatsvond, niet zelf heeft opgemerkt. Pas op 5 september, na op het datalek te zijn geattendeerd door een derde, heeft BA actie ondernomen. Zorgwekkend is het kennelijke onvermogen van BA destijds om de zwakte en een opvolgend misbruik daarvan te detecteren. De ICO stelt terecht de vraag hoe lang het had geduurd voordat BA zelf de cyber-aanval had ontdekt, als zij het überhaupt ontdekt zou hebben.

De ICO rekent het BA voorts ernstig aan dat de stand van de techniek op het moment van de cyber-aanval zodanig was, dat de zwakte in de beveiliging van BA onnodig was. Als BA een op dat moment gangbaar niveau van beveiliging had gehanteerd, dan had daarmee de succesvolle cyber-aanval in 2018 op relatief eenvoudige wijze kunnen worden voorkomen.

Overigens heeft BA, nadat zij wél bekend was met de zwakte in haar systeem en de cyberaanval, voortvarend en correct gehandeld door het incident te melden bij de ICO en aanzienlijke verbeteringen aan te brengen in de IT beveiliging. Dat, samen met de aanvullende informatie die is verstrekt door BA en de zware tijden waarin de luchtvaartmaatschappij sindsdien verkeert door COVID-19, heeft geleid tot de aanzienlijk lagere boete die uiteindelijk door de ICO is opgelegd.

Voetnoten

(1) https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

Meer artikelen van Kennedy Van der Laan