Transavia krijgt boete van 400.000 euro van AP

Drie vliegtuigen van Transavia op een rij

Transavia moet een bestuurlijke boete van 400.000 euro betalen van de Autoriteit Persoonsgegevens. De luchtvaartmaatschappij had de beveiliging van persoonsgegevens niet op orde. Daardoor had een hacker in 2019 toegang tot de gegevens van 25 miljoen mensen.

Dat schrijft de toezichthouder in een persverklaring.

Transavia had beveiliging niet op orde

In september 2019 wist een hacker de computersystemen van Transavia binnen te dringen. Daarbij maakte hij gebruik van twee accounts van de IT-afdeling van de luchtvaartmaatschappij. De systemen infiltreren bleek kinderlijk eenvoudig, omdat Transavia de beveiliging niet op orde had.

Uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat het op drie punten schortte. Allereerst was het wachtwoord makkelijk te raden. Daarnaast was er geen meerfactorauthenticatie geïmplementeerd, waardoor alleen een wachtwoord voldoende was om in te loggen. En toen de hacker eenmaal de controle had over de twee accounts van de IT-afdeling, had hij toegang tot een groot aantal systemen van Transavia.

Hacker had toegang tot persoonsgegevens van miljoenen reizigers

Door de slechte beveiliging van de systemen, had de hacker toegang tot de persoonsgegevens van 25 miljoen passagiers. Het ging om onder meer voor- en achternamen, geboortedata, e-mailadressen, telefoonnummers, geslacht, en vlucht- en boekingsgegevens. Er zijn geen aanwijzingen dat de aanvaller deze gegevens daadwerkelijk heeft ingezien of gekopieerd.

Wat wel vaststaat is dat de hacker de persoonsgegevens van zo’n 83.000 reizigers heeft gedownload. Deze bevatte passagiersgegevens uit 2015 en medische gegevens van 367 mensen. Deze groep gaf bijvoorbeeld aan dat ze een rolstoel meenamen tijdens de vlucht, of dat ze blind of doof waren.

‘Belangrijke drempels ontbraken’

“Het is zeer ernstig dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord”, zo vertelt Katja Mur, bestuurslid van de Autoriteit Persoonsgegevens. Volgens haar gaat het om een zwak wachtwoord dat boven aan het lijstje staat van meest gebruikte wachtwoorden. “En dat niet alleen: andere belangrijke drempels om het een hacker moeilijk te maken, ontbraken ook.”

Mur vindt dat klanten ervan uit mogen gaan dat hun gegevens veilig zijn als ze die doorgeven aan een luchtvaartmaatschappij. “Dus jij moet er wel vanuit kunnen gaan dat die luchtvaartmaatschappij erg voorzichtig met jouw data omgaat en die uitermate goed beveiligt. Dat bleek bij Transavia niet het geval.” Ze benadrukt dat hackers en cybercriminelen persoonsgegevens gebruiken voor criminele doeleinden, zoals identiteitsfraude of WhatsApp-fraude.

Transavia gaat niet in hoger beroep tegen de boete.

Deze boetes legde de AP eerder op dit jaar

De Autoriteit Persoonsgegevens heeft dit jaar een flink aantal boetes uitgedeeld. In februari kreeg het Onze Lieve Vrouwe Gasthuis (OLVG) een boete van 440.000 euro, omdat het Amsterdamse ziekenhuis jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen. Ook werd er geen meerfactorauthenticatie toegepast om de dossiers te beveiligen.

Eind maart was het de beurt aan Booking.com. De reisorganisatie kreeg een boete van 475.000 euro, omdat het pas na drie weken een datalek meldde bij de toezichthouder. Om dezelfde reden kreeg de PVV Overijssel in mei een privacyboete opgelegd. Omdat het echter een politieke stichting zonder winstoogmerk en beperkte financiële middelen is, verlaagde de AP het boetebedrag van 525.00 euro naar 7.500 euro. In mei kreeg de website Locatefamiliy.com te horen dat het 525.000 euro moet betalen, omdat het zonder medeweten of toestemming persoonsgegevens van mensen publiceerde. Daarbovenop was het verwijderen van deze gegevens volgens de AP ‘niet eenvoudig’.

Deze zomer kreeg TikTok te horen dat ze een boete van 750.000 euro moet betalen wegens het jarenlang schenden van de privacy van jonge, Nederlandse kinderen. De privacyverklaring van het platform was enkel in het Engels beschikbaar, waardoor het voor kinderen moeilijk was om te begrijpen hoe de app persoonsgegevens verzamelt, verwerkt en gebruikt. Het Chinese sociale netwerk is in beroep gegaan tegen de boete.

Zorgverzekeraar CZ wist op het allerlaatste moment een dwangsom van de Autoriteit Persoonsgegevens te voorkomen door een nieuwe leidraad voor de beoordeling van machtigingsaanvragen voor medisch-specialistische revalidatie door te voeren. Aanvankelijk voldeed deze niet aan de Europese privacywetgeving, omdat CZ teveel medische persoonsgegevens verwerkte dan strikt noodzakelijk was.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen