De Britse privacytoezichthouder heeft een boete van 183 miljoen pond of 204 miljoen euro opgelegd voor een datalek dat vorig jaar plaatsvond bij British Airways. Daarbij kwamen de gegevens van 500.000 klanten op straat te liggen.
Specifiek gaat het om een boete van 183,39 miljoen pond, omgerekend 204,54 miljoen euro, schrijft de Britse privacywaakhond in een verklaring. Het zou de hoogste boete zijn die tot nu toe is uitgedeeld onder de AVG, de Europese privacywet die sinds mei 2018 van kracht is. Het bedrag bedraagt 1,5 procent van de totale jaaromzet in 2018 van het bedrijf. Onder de AVG kunnen toezichthouders een boete opleggen van maximaal vier procent van die omzet. De boete moet nog definitief worden uitgeschreven, op dit moment gaat het nog om een voorstel.
Volgens het Britse Information Commissioner's Office was het lek te wijten aan 'slechte beveiligingsmaatregelen van het bedrijf.' "De data van mensen is persoonlijk", zegt een woordvoerder van de ICO. "Als een organisatie verzuimt om die tegen verlies, schade of diefstal te beschermen is dat meer dan alleen ongemakkelijk. Daarom is de wet helder: als je toevertrouwd wordt met persoonlijke gegevens moet je daar goed mee omgaan." British Airways kan binnen 28 dagen bezwaar tegen de boete aantekenen. Dat gaat het ook doen, heeft het bedrijf al aangegeven. Volgens de ICO heeft het bedrijf goed meegewerkt aan het onderzoek, en heeft het na het datalek verbeterde beveiligingsmaatregelen doorgevoerd.
De boete komt naar aanleiding van een datalek in de zomer van 2018. Hackers wisten de systemen van British Airways binnen te dringen en daar wekenlang gegevens te stelen. Het is niet zeker wanneer dat precies begon. British Airways zei destijds zelf dat de hackers van 21 augustus tot en met 5 september actief waren, maar de Information Commissioner's Office zegt dat de toegang al in juni verkregen werd. Aanvankelijk zei het bedrijf ook dat er gegevens van 380.000 klanten waren gestolen, maar uit het onderzoek van de ICO bleken dat er 'ongeveer 500.000' te zijn. Uiteindelijk bleek dat naast namen en e-mailadressen ook creditcardgegevens waren buitgemaakt. Het zou gaan om de creditcardnummers zelf, de verloopdatums, en zelfs de driecijferige cvv-codes. British Airways heeft zelf altijd volgehouden dat het die laatste codes niet bewaart.
British Airways heeft publiekelijk weinig details bekendgemaakt over de aard van het lek. Wel zei het bedrijf dat 'de versleuteling van het bedrijf niet is getroffen.' "Het ging om andere methodes die erg geraffineerd waren", zei ceo Álex Cruz vorig jaar. Beveiligingsexperts van RiskIQ schreven de hack toe aan Magecart, een vorm van malware die scripts injecteert op de betaalpagina's van websites en webshops. Magecart werd eerder al op grote schaal ingezet bij een hack op Ticketmaster. Bij dat bedrijf wisten de hackers de website waarschijnlijk te kraken via een verouderde plugin.