De Autoriteit Persoonsgegevens heeft Transavia een hoge boete opgelegd. Reden? Slecht beveiligde persoonsgegevens, die in 2019 werden ingezien en gedownload door een hacker. Dankzij een wachtwoord in de categorie ‘welkom123’, heeft de hacker niet veel moeite hoeven doen.
In 2019 kreeg een hacker eenvoudig toegang tot de systemen van Transavia. Hierdoor kon hij de gegevens van 25 miljoen mensen inzien. Zeker is dat hij de gegevens van 83.000 mensen heeft gedownload. Denk aan naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens.
Een datalek van ongekende grootte.
Dat bleef niet onbestraft. De Autoriteit Persoonsgegevens (AP) legde de luchtvaartmaatschappij een boete op van € 400.000,-.
Grote vraag is:
Hoe kon dit gebeuren?
De AP heeft bekendgemaakt dat de hacker de systemen binnendrong via twee accounts van de IT-afdeling van Transavia. Dit kostte de hacker niet veel moeite. Allereerst was er slecht één wachtwoord nodig om de accounts binnen te komen. Geen twee- of meerfactorauthenticatie dus.
Het wachtwoord in kwestie was ook nog eens heel zwak. Denk aan een wachtwoord in de categorie ‘welkom’ of ‘12345’. Daarbovenop had de hacker na het betreden van deze accounts, ook nog eens toegang tot vele systemen binnen Transavia. De autorisatie was niet beperkt tot enkel de noodzakelijke systemen voor de gebruikers in kwestie.
Slecht ingestelde authenticatie en autorisatie maakten het de hacker dus heel gemakkelijk.
En nu?
Transavia heeft de boete geaccepteerd en de beveiliging van persoonsgegevens drastisch verbeterd.
Tegelijkertijd is dit een reality check voor ons allemaal. Want als een grote luchtvaartmaatschappij al zo eenvoudig te hacken is, hoe zit het dan met al die kleinere bedrijven? Kunt u 100% instaan voor de beveiliging van de persoonsgegevens die uw organisatie verwerkt?
Volgens de AVG moeten organisaties passende technische én organisatorische maatregelen nemen. Zo moet er moderne techniek worden gebruikt om persoonsgegevens te beveiligen, maar ook worden gekeken naar de manier waarop er met persoonsgegevens wordt omgegaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
Twijfelt u of uw beveiliging wel voldoet aan de regels van de AVG? Lees dan ook eens onze eerdere blog ‘Passende beveiliging volgens de AVG: wat houdt het nu écht in?’
Checken of uw beveiliging voldoet aan de AVG?
Onze ICT-juristen hebben al vele organisaties geholpen bij de implementatie en naleving van de AVG.
Heeft u interesse in een vrijblijvende prijsopgave? Of wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.
Ontvang onze blogs in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.