Wat kunnen we leren van de boetes voor British Airways en Marriott?

Auteur: Jeroen Terstegge

Afgelopen week maakte de Britse toezichthouder, de Information Commissioner (ICO), bekend voornemens te zijn een boete op te leggen aan British Airways (BA) en Marriott hotels, beide voor datalekken. Voor BA ligt een boete van ruim 183,39 miljoen GBP (204 miljoen euro) in het verschiet. Dit bedrag vormt 1,5% van de totale wereldwijde jaaromzet van BA. Daarmee is dit de hoogste AVG-boete tot nu toe. Voor Marriott ligt een boete van 99 miljoen GBP (110 miljoen euro) klaar. Een paar leerpunten op een rijtje…

Wat is er gebeurd bij BA?

In 2018 is British Airways slachtoffer geworden van een hackaanval op het bagageclaimgedeelte van haar website, vermoedelijk door de beruchte groep Magecart, een groep criminelen die gespecialiseerd is in het stelen van creditcardgegevens. Deze groep zat vermoedelijk ook achter de hack van Ticketmaster. Magecart is erin geslaagd om op de BA website een script te plaatsen waardoor gedurende 15 dagen persoonsgegevens van zo’n 500.000 klanten konden worden onderschept, waaronder namen, huisadressen en creditcardgegevens, inclusief de CVV code op de achterkant van de kaart. Niet onbelangrijk hier in het feit dat BA de CVV codes helemaal niet opslaat (geheel conform de PCI-DSS standaard). Maar omdat de hackers de gegevens al op de website onderschepten, konden ze de CVV code onversleuteld te pakken krijgen en hoefden ze helemaal niet in te breken op de servers van BA (waar de CVV codes dus sowieso niet werden opgeslagen).

Wat deed BA fout volgens de ICO?

Websites horen beveiligd te zijn tegen dit soort aanvallen. Dat de aanval ook nog eens 15 dagen geduurd heeft, kan BA vermoedelijk ook verweten worden. Artikel 32 AVG eist dat de verwerkingsverantwoordelijke passende maatregelen neemt om de persoonsgegevens te beveiligen tegen onbevoegde kennisneming. Daartoe hoort ook het beveiligen van de website tegen crosssite scripting (XSS).

Een ander niet onbelangrijk feit is dat BA en de ICO van mening verschillen over wanneer de hack nu precies begonnen is. Volgens BA vond de hack plaats tussen 21 augustus en 5 september 2018. Zo heeft BA het incident kennelijk ook bij de ICO gemeld. Maar in haar persbericht sluit de ICO niet uit dat het incident al in juni 2018 begonnen was; maar liefst 2 maanden eerder. Dit duidt erop dat BA de monitoring van de beveiliging van de website niet op orde had.

Hoe groter en belangrijker de organisatie is en hoe gevoeliger de gegevens zijn, hoe meer er qua beveiliging van de organisatie verwacht mag worden.

Wat is er gebeurd bij Marriott?

In september 2018 ging er bij Marriott een alarm af dat er geprobeerd was ongeautoriseerde toegang te verkrijgen tot het reserveringssysteem van een van haar dochters Starwood Hotels (o.a. Westin, Sheraton en Le Méridien). Al snel ontdekte Marriott dat de toegang al bestond sinds 2014. In totaal zijn ongeveer 500 miljoen gasten getroffen door dit datalek. De gestolen informatie omvatte onder meer naam, adres, e-mailadres, telefoonnummer, paspoortnummers en creditcardinformatie, hoewel die laatste versleuteld waren.

Wat deed Marriott fout volgens de ICO?

De ICO verwijt Marriott primair dat de staat van informatiebeveiliging bij de overname van Starwood hotels in 2016 kennelijk geen onderwerp van de due diligence is geweest. Een due diligence is gebruikelijk bij fusies en overnames om te kijken of er lijken in de kast liggen die de overnemende partij doen afzien van de overname (na de overname is het immers het probleem van de overnemende partij) dan wel invloed hebben op de waarde van de deal.

De ICO stelt onomwonden dat als Marriott in 2016 wel naar de staat van de informatiebeveiliging had gekeken, het datalek al eerder zou zijn ontdekt. Uiteraard was vóór het moment van overname, de beveiliging van het reserveringssysteem van Starwood alleen het probleem van Starwood. Na een overname vindt er vaak een (langdurige) periode van integratie plaats (2 jaar of langer is geen uitzondering), waarin het overgenomen bedrijf wordt aangesloten op de processen van het overnemende bedrijf. Systemen worden vervangen, de administratie wordt geharmoniseerd, etc. Op enig moment zijn dus ook de informatiebeveiligingsmaatregelen geharmoniseerd en geïmplementeerd.

Ik kan de ICO wel volgen in haar redenering. Gelet op de grote financiële risico’s die verbonden zijn aan slechte beveiliging van persoonsgegevens, zoals boetes, aansprakelijkheden en kosten om de risico’s te mitigeren of datalekken te bestrijden, zou je van een overnemend bedrijf mogen verwachten dat ze óók de staat van de informatiebeveiliging meenemen in de due diligence, inclusief IT-security audits en pen testing. De due diligence is hét moment om fouten uit het verleden boven water te krijgen. De risico’s voor het overnemende bedrijf en voor de betrokkenen gaan hier hand in hand. Als een datalek onnodig groter wordt vanwege de nalatigheid van het overnemende bedrijf in de due diligence, dan kan dat het overnemende bedrijf volgens de ICO dus worden verweten.

Persoonsgegevens zijn assets die beschermd moeten worden. De evaluatie van de assets is een cruciaal onderdeel van een due diligence. Met deze uitspraak van de ICO is een due diligence niet langer het exclusieve domein van corporate juristen en accountants; ook van privacy- en securityspecialisten moeten een plekje in het overnameteam krijgen.

Persbericht ICO

Wat bovendien interessant is aan deze casus, is het feit dat de ICO het nodig vond om het voornemen om een boete op te leggen al te publiceren. Velen, waaronder ikzelf, hebben zich hardop afgevraagd of dat nou nodig was. De boetes zijn immers nog niet opgelegd. Het onderzoek verkeert nog in de eindfase, waarbij de ICO een ontwerpbeschikking ter commentaar voorlegt aan de bedrijven en haar collega-toezichthouders. Mocht de ICO na ontvangst van het commentaar nog van gedachten willen veranderen, dan kan ze nu bijna onmogelijk meer terug. Dat is voor alle betrokken partijen vervelend.

Het feit dat de ICO het nodig vond om maandag een persbericht uit te geven was het gevolg van het feit dat eerst de moedermaatschappij van BA, de International Airlines Group (IAG) dat op de Londense beurs is genoteerd, nog “vóór beurs” een persbericht uitgaf met de mededeling dat de ICO voornemens was om aan BA een boete van 183 GBP op te leggen. De beursregels vereisen immers dat alle materiële risico’s die van invloed kunnen zijn op de beurskoers zo snel mogelijk aan de aandeelhouders bekend worden gemaakt. Het voornemen om een boete van 1.5% van de omzet van een belangrijke dochter op te leggen, is kennelijk materieel. Ik kan me zomaar voorstellen dat journalisten die het persbericht van IAG lazen zijn gaan bellen naar de ICO voor commentaar, en dat dat heeft geleid tot het persbericht van de ICO maandagochtend.

Ook Marriott, dat in de VS aan de beurs is genoteerd, bracht een persbericht naar buiten. In de VS eist de beurswaakhond SEC dat aandeelhouders moeten worden ingelicht over substantiële “cybersecurity” risico’s. Anders dan bij BA de dag ervoor, noemt de ICO in haar persbericht over Marriott expliciet dat het persbericht van Marriott aan haar aandeelhouders de reden was om met het voornemen naar buiten te treden. Kortom, de beursregels dwongen tot openbaarheid van iets wat procedureel nog niet openbaar was!

Als leidende autoriteit in beide onderzoeken zat de ICO waarschijnlijk nog midden in het proces van consultatie van haar collega-toezichthouders. Het ontwerpbesluit moet immers aan de collega-toezichthouders worden toegestuurd voor commentaar en bezwaar (art. 60 lid 3 en 4 AVG). Ik kan me voorstellen dat er achter menig bureau elders in Europa een wenkbrauw omhoog is getrokken toen ze het nieuws over BA en Marriott lazen. Toezichthouders werken in zo’n grensoverschrijdende zaak immers samen “teneinde tot een consensus te komen” (art. 60 lid 1 AVG). En nu wordt er voordat die consensus is bereikt al een standpunt naar buiten gebracht. Toezichthouders moeten zich dus rekenschap geven van de beursregels. Misschien moeten ze voortaan alleen de bevindingen naar beursgenoteerde ondernemingen sturen, maar dan zonder het boetebedrag. Het zou zomaar kunnen dat er dan nog geen waarschuwing naar de aandeelhouders hoeft te worden gedaan.

Hoogte van de boetes

Ook de hoogte van de boetes is interessant. Natuurlijk is 183 miljoen GBP respectievelijk 99 miljoen GBP veel geld en ja, 183 miljoen is een record onder de AVG. De maximale boete voor overtreding van artikel 32 AVG is 10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste van de twee). Als het gedrag van de verwerkingsverantwoordelijke ook nog eens als “onbehoorlijk” (lees: verwijtbaar nalatig) kan worden beschouwd op basis van art. 5 AVG, dan stijgt het boeteplafond zelfs naar 20 miljoen of 4% van de wereldwijde jaaromzet. In de VS hebben we casus gezien waar de Federal Trade Commission het nalaten van de implementatie van de PCI-DSS standaard kwalificeerde als een “onbehoorlijke handelspraktijk” vanwege het feit dat klanten een “gerechtvaardigde verwachting mochten hebben dat hun gegevens conform de PCI-DSS standaard zouden worden beveiligd”. Een dergelijke redenering zouden de Europese toezichthouders natuurlijk ook kunnen volgen. We moeten het definitieve boetebesluit nog even afwachten, maar kennelijk vond de ICO dat BA niet verwijtbaar nalatig was als het ging om de beveiliging van haar website, anders had ze de boete gebaseerd op artikel 5 AVG ipv op artikel 32 AVG en zou het bedrag misschien wel hoger zijn geweest. Bij Marriott is het vooralsnog gissen naar de grondslag voor de boetehoogte.

Hiermee wordt dus een Europese standaard gezet voor de hoogte van boetes voor dit type incidenten. De toezichthouders hebben immers afgesproken dat de boetes zoveel mogelijk hetzelfde zijn (zie de Opinie over boetes, WP 253). We moeten er dus serieus rekening mee houden dat toezichthouders in andere landen in de toekomst tot vergelijkbare boetehoogtes zullen komen voor dit type incidenten.

Maar tussen de regels door mogen we misschien wel nog een belangrijke conclusie trekken: de ICO legt de boete op aan de verwerkingsverantwoordelijke (BA plc) en niet aan de groep (IAG). 183 miljoen GBP is 1,5% van de omzet van BA, niet 1,5% van de omzet van IAG! Ik heb altijd al gezegd dat het zeer onwaarschijnlijk is dat toezichthouders de omzet van de hele groep in aanmerking zullen nemen als ze een boete opleggen. De omzet van de verantwoordelijke en alle met haar verbonden dochterondernemingen is logischer. Dit besluit van de ICO lijkt mijn vermoeden te bevestigen. Echter, we moeten de definitieve boetebesluiten afwachten om te bezien of mijn vermoeden bij BA bevestigd wordt en waarom Marriott de boete krijgt en niet haar dochter Starwood.

Hulp nodig bij het vaststellen van de privacyrisico’s bij een overname? info@pmpartners.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *