Tag: Boetes

Wat kunnen we leren van de boetes voor British Airways en Marriott?

Auteur: Jeroen Terstegge

Afgelopen week maakte de Britse toezichthouder, de Information Commissioner (ICO), bekend voornemens te zijn een boete op te leggen aan British Airways (BA) en Marriott hotels, beide voor datalekken. Voor BA ligt een boete van ruim 183,39 miljoen GBP (204 miljoen euro) in het verschiet. Dit bedrag vormt 1,5% van de totale wereldwijde jaaromzet van BA. Daarmee is dit de hoogste AVG-boete tot nu toe. Voor Marriott ligt een boete van 99 miljoen GBP (110 miljoen euro) klaar. Een paar leerpunten op een rijtje…

Wat is er gebeurd bij BA?

In 2018 is British Airways slachtoffer geworden van een hackaanval op het bagageclaimgedeelte van haar website, vermoedelijk door de beruchte groep Magecart, een groep criminelen die gespecialiseerd is in het stelen van creditcardgegevens. Deze groep zat vermoedelijk ook achter de hack van Ticketmaster. Magecart is erin geslaagd om op de BA website een script te plaatsen waardoor gedurende 15 dagen persoonsgegevens van zo’n 500.000 klanten konden worden onderschept, waaronder namen, huisadressen en creditcardgegevens, inclusief de CVV code op de achterkant van de kaart. Niet onbelangrijk hier in het feit dat BA de CVV codes helemaal niet opslaat (geheel conform de PCI-DSS standaard). Maar omdat de hackers de gegevens al op de website onderschepten, konden ze de CVV code onversleuteld te pakken krijgen en hoefden ze helemaal niet in te breken op de servers van BA (waar de CVV codes dus sowieso niet werden opgeslagen). Lees verder

Privacy Outlook 2016

Auteur: Jeroen Terstegge
PO 2016

Ik zeg al sinds 2014 in mijn Privacy Outlook dat “dit jaar het jaar van de privacy wordt”. De politieke molens in Den Haag en Brussel bleken elk jaar echter weer langzamer te draaien dan ze zelf hadden voorzien. Maar in 2016 is het dan eindelijk toch zover!

Met de inwerkingtreding van de meldplicht datalekken en de boetebevoegdheid van de Autoriteit Persoonsgegevens (de nieuwe naam van het CBP) en de Algemene Verordening Gegevensbescherming (AVG, of in het Engels GDPR) op de zeer nabije horizon, is 2016 inderdaad toch wel een cruciaal privacyjaar. En niet zozeer in juridische zin; de wijzigingen vragen vooral de aandacht van directies en managers. Díe moeten vooral aan de bak.

 

Lees verder