British Airways moet een boete van 204 miljoen euro betalen wegens een groot datalek. De boete is opgelegd door de Britse Autoriteit Persoonsgegevens (AP), de Information Commissioner’s Office (ICO). De luchtvaartmaatschappij maakte de boete zelf bekend.
Het is de hoogste boete die de Britse AP tot nu toe heeft opgelegd, en de eerste die is uitgereikt onder de nieuwe Europese privacywetgeving.
British Airways werd in augustus 2018 getroffen door een grote hackaanval, waarbij creditcardgegevens van 380.000 klanten werden gestolen. De aanval nam twee weken tijd in beslag, tot de hackers op 5 september konden worden geblokkeerd.
Naast creditcardgegevens werd ook andere privé-informatie van de slachtoffers gestolen. De luchtvaartmaatschappij benadrukte dat er geen paspoorten zijn ontvreemd.
Een woordvoerder van het luchtvaartbedrijf vertelt aan BBC “verrast en teleurgesteld” te zijn door de opgelegde boete. De organisatie gaat in beroep tegen het boetebesluit.
Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.
Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.
“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.
Interpretatie AVG
Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”
In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.
In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.
De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.
De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.
De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “ Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.
De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.
De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.
Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.
Politieke voorkeur valt onder hogere risicoklasse in AVG
De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.
De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.
In dat geval is er duidelijk sprake van nalatigheid bij de CSU.
Webshop CSU is gebouwd met Magento software
De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.
Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.
De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.
Hackers wisten dat ze alleen contactgegevens konden buitmaken
Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.
De hackers konden op deze manier alleen namen en postadressen onderscheppen.
De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.
Wereldwijd 40.000 Magento shops geinfecteerd met Magecart
“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”
Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.
Facebook maakte vorige week vrijdag openbaar dat op de dinsdag van die week de accounts van bijna 50 miljoen Facebook-gebruikers waren gehackt. Dat datalek levert Facebook mogelijk een megaboete van 1,4 miljard Euro op.
Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is weten veel mensen dat er miljoenen Euro aan boetes kunnen worden opgelegd als de regels worden overtreden.
Bij Facebook wordt een potentieel boetebedrag van 1,4 miljard Euro genoemd. Waar komt dat bedrag vandaan? Heeft Facebook nu een megaprobleem?
Datalekprocedure Facebook
De AVG eist onder meer dat bedrijven hacks en lekken binnen 72 melden bij een Europese toezichthouder. Zo niet, dan kan een boete van maximaal 2 procent van de wereldwijde omzet van het bedrijf worden opgelegd.
Grote vraag is dan of Facebook de hack volgens de regels van een datalekprocedure binnen de verplichte 72 uur bij een Europese privacywaakhond heeft gemeld.
Wall Street Journal
Volgens de Wall Street Journal heeft Facebook tijdig een datalekprocedure gestart. Daarmee lijkt een eerste hoge boete in het kader van de Europese privacywet AVG afgeslagen.
Facebook melde de hack die naar eigen zeggen dinsdag werd ontdekt donderdag bij de Ierse Data Protection Commission (DPC), schrijft The Wall Street Journal.
Het Europese hoofdkantoor van Facebook staat in Ierland, en dus worden alle Europese privacyzaken van Facebook in principe door de Ierse autoriteit persoonsgegevens DPC afgehandeld.
Boete tot 1,4 miljard euro
Toch kan Facebook mogelijk een nog hogere boete krijgen. Bedrijven die volgens de toezichthouder niet genoeg hebben gedaan om de privacy van gebruikers te waarborgen, kunnen boete krijgen van 20 miljoen dollar of 4 procent van jaaromzet waarbij het hoogste bedrag telt. In het geval van Facebook zou de maximumboete op 1,4 miljard euro komen.
Een anonieme Europese privacyadvocaat zegt tegen The Wall Street Journal dat de eis om een lek binnen 72 uur te melden “iedereen op scherp zet”, en zorgt dat bedrijven hacks eerder openbaar maken. De Ierse DPC klaagt dat Facebook niet meer details heeft gegeven rond de recente hack, en heeft het bedrijf vragen gesteld.
Facebook heeft risico van datalek nog niet duidelijk gemaakt
De toezichthouder is “bezorgd over het feit dat dit lek dinsdag ontdekt is en miljoenen gebruikers aangaat, zonder dat Facebook de aard van het lek en het risico voor gebruikers duidelijk kan maken”.
Facebook zegt de zaak te onderzoeken, en de vragen van de toezichthouder zo snel mogelijk te beantwoorden.
Facebook loopt extra risico op megaboete vanwege voorbeeldfunctie
Experts zeggen tegen The Wall Street Journal dat de Europese privacywaakhonden mogelijk een voorbeeld zullen maken van Facebook, omdat het bedrijf met zijn miljarden gebruikers en miljardenomzet een voorbeeldfunctie heeft voor andere bedrijven.
Taxidienst Über moet in de VS een enorm hoge boete betalen voor het verzwijgen van een hack van ongeveer 60 miljoen klantengegevens in oktober 2016.
De advocaat-generaal van New York, Barbara D. Underwood, maakte bekend dat Über in een schikking met de Amerikaanse autoriteiten een boete van 148 miljoen US dollar heeft aanvaard.
Het zou de hoogste boete te zijn die ooit in een dergelijke zaak is opgelegd. Daarnaast moet Über voldoen aan eisen om de gegevensbeveiliging te verbeteren.
Über gaf in november 2017 toe een losgeld van 100.000 US dollar te hebben betaald aan cybercriminelen die de systemen van de internationale taxidienst hadden gehackt.
Ze hadden toegang weten te krijgen tot een archief met gegevens van miljoenen chauffeurs en passagiers.
Later namen ze contact op met het Amerikaanse taxibedrijf en eisten ze een losgeld van 100.000 dollar voor de data die ze hadden buitgemaakt.
Het bestand bevatte de namen, e-mailadressen en telefoonnummers van meer dan 50 miljoen Uber-gebruikers. De rijbewijzen van meer dan zeven miljoen taxichauffeurs was in handen van de cybercriminelen.
“Deze recordschikking geeft een duidelijke boodschap: we tonen geen tolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen,” legt Underwood uit.
Tony West, de hoofdrechter, sprak zijn tevredenheid uit in een verklaring dat hij een akkoord had bereikt met de kantoren van de openbare aanklager.
Volgens de huidige wetgeving had Uber ten minste de autoriteiten, maar mogelijk ook individuele klanten of bestuurders over het incident moeten informeren.
In het verleden moest de onderneming een boete betalen voor het niet correct melden van een inbraak.
Dit bericht is ook verzonden naar Jantje, Pietje en Klaasje en de chef. De namen en e-mailadressen staan in de cc van het mailbericht. Herkenbaar.
Tot 25 mei 2018 vonden we het soms irritant als we mail kregen met een lange lijst adressen in de cc, maar we wisten niet anders. Iedereen deed het bijna.
Klantenlijst concurrent in de schoot geworpen
En soms was het ook best praktisch. Je kreeg klantenlijsten van concurrenten als het ware in de schoot geworpen. Daar kon je soms wel iets mee. Dat was misschien niet netjes, maar het gebeurde wel…
Na 25 mei veranderde de Algemene Verordening Gegevensbescherming (AVG) de wereld, denken we.
De AVG is niet nieuw. De regels bestonden al
Opeens mag er heel veel niet meer. Vrezen we. Maar in werkelijkheid bestonden deze regels al. En ze konden ook worden gehandhaafd. Met hoge boetes.
Het cc-vak in mailberichten was altijd al een risicogebied. Het cc-veld levert datalekken op.
Wanneer is iets een datalek?
Heel simpel gezegd is iets een datalek als de informatie bij een persoon terecht komt die deze informatie niet zou mogen hebben.
Als je nu nog mailberichten met een riks van andere namen en mailadressen in de cc ontvangt zou je moeten weten dat de afzender een groot probleem heeft (gecreeerd).
Jouw mailadres is onrechtmatig gedeeld
Jouw mailadres is ongevraagd gedeeld met mensen die jij mogelijk niet kent of die wat jou betreft niet hoeven te weten dat jij ook op de hoogte bent. Jij – en anderen in de maillijst – hebben daar geen toestemming voor gegeven.
Degene die de mail naar cc-adressen heeft verzonden heeft een datalek gecreeerd. Er zijn zonder toestemming, zonder grondslag, contactgegevens gedeeld met derden.
De fout wordt waarschijnlijk gezien als een zware overtreding van de Algemene Verordening Gegevensbescherming (AVG). Dat kan de veroorzaker duur komen te staan.
Waarschijnlijk een zware overtreding? Dat is dus nog niet zeker…
Nee, er is nog steeds weinig duidelijk over de manier waarop de Autoriteit Persoonsgegevens overtredingen van de AVG beoordeelt.
Dat betekent niet organisaties zich voorlopig nog niet druk hoeven te maken over fout gebruik van het cc-veld door hun medewerkers.
Schelden op de AVG lijkt logisch, maar is onterecht
Ook voor de AVG mocht het cc-veld al niet zonder grondslag gebruikt worden. En er was ook al een boetelijst vastgesteld.
Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen viel onder de oude privacywetgeving in de categorieën middel of zwaar.
120.000 Euro boete
De boete lag in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe hoger de boete.
Boetelijst Autoriteit Persoonsgegevens (AP)
De Autoriteit Persoonsgegevens heeft voor de AVG nog geen boetelijst gepublieerd. Helaas. Niemand weet waar hij aan toe is.
Maar het ligt in de lijn van de verwachtingen dat de boetes zeker niet lager zullen worden dan onder de oude privacywetgeving.
Hoe voorkom je het risico op een boete? Mag je helemaal geen cc gebruiken?
De eerste logische maatregel die je kunt treffen is voortaan het cc-vak standaard niet meer te gebruiken. Dan loop je zeker geen risico.
Het cc-veld zou dus net zo goed kunnen worden afgeschaft, kun je denken. Misschien gaat dat ook nog wel gebeuren.
CC is soms best praktisch
Er zijn mensen die het praktisch vinden om binnen de eigen organisatie in de mail wel duidelijk te vermelden naar wie het bericht ook is gestuurd. Bijvoorbeeld bij uitnodigingen voor managementoverleg. In dat geval is het geen probleem om het cc-vak te gebruiken.
Je moet oppassen met externe mailadressen. Zodra er een extern adres bij komt kun je beter bcc gebruiken.
Je mag van de AVG niet zonder grondslag persoonsgegevens van derden gebruiken. Wat betekent dat?
Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt.
Door het cc-veld te gebruiken in plaats van bcc, het vakje dat de adressen van anderen onzichtbaar maakt, valt daar onder.
Hoe ga je ermee om als een persoon (al dan niet vanuit een organisatie) een mailtje stuurt met verschillende e-mailadressen in de cc? Is dit een datalek?
Officieel gezien is dit een datalek. Als je er op de juiste manier mee om wilt gaan, moet dit in beginsel gemeld worden bij de Autoriteit Persoonsgegevens. En je moet het zeker vermelden in je verwerkingsregister als een incident.
Gelet op de enorme boetebedragen waarmee gedreigd wordt hebben veel organisaties waarschijnlijk de neiging om het cc-datalek niet te melden. Die reactie lijkt logisch, maar is niet slim.
Bewust niet melden datalek is vergelijkbaar met doorrijden na een ongeval
De Autoriteit Gegevensbescherming zou het bij ontdekking vergelijkbaar kunnen opvatten als doorrijden na een ongeval. De straf zal dan zeker hoger uitpakken, omdat je je doelbewust niet aan de wet hebt gehouden.
De kans dat je een boete krijgt als je netjes volgens de AVG-regels een datalekmelding doet is juist kleiner. Waarschijnlijk blijft het bij een berisping als je kunt aantonen dat je maatregelen hebt getroffen.
Leg de e-mailetiquette uit
Bijvoorbeeld door een mail aan het personeel te sturen met uitleg over e-mailetiquette op basis van de AVG of door een AVG Awareness training te organiseren. PrivacyZone kan daarbij helpen.
In de mail aan het personeel over e-mailetiquette kun je overigens een link naar dit artikel van PrivacyZone plaatsen.
Je hoeft met die mail natuurlijk niet te wachten tot het is misgegaan. Wie verstandig is houdt het personeel regelmatig op de hoogte met voor hen en klanten relevante aandachtspunten over privacybeleid binnen je organisatie.
PrivacyZone kan helpen bij het opstellen van een interne of externe AVG Communicatie Strategie voor jouw organisatie
De AVG verlangt van organisaties dat ze kunnen aantonen voortdurend consequent beleidsmatig met privacybeleid bezig te zijn.
Hoe groot is de pakkans?
Veel organisaties denken dat de pakkans klein is en denken dat het risico daarom verwaarloosbaar is.
De Autoriteit Persoonsgegevens heeft te weinig menskracht om proactief te gaan controleren. Dat klopt deels.
AP moet iedere klacht behandelen
Maar wat dan vergeten wordt is dat de Autoriteit Persoonsgegevens op basis van de AVG verplicht is om binnen 30 dagen iedere klacht in behandeling te nemen en bij het constateren van een overtreding dan ook op te treden.
Op dit moment merken we daar misschien nog niet veel van, maar dat zou de bekende stilte voor de storm kunnen zijn. We leggen uit waarom.
Steeds meer mensen zijn op de hoogte van de rechten en plichten die ze dankzij de AVG hebben. Rechten en plichten die voor iedereen gelden.
Iedereen kan aangifte tegen jou doen
Iedereen kan nu op basis van de AVG een organisatie aansprakelijk stellen als de regels niet nageleefd worden.
Het risico om gepakt te worden komt dus niet noodzakelijk rechtstreeks van de Autoriteit Persoonsgegevens. Iedereen kan de vinger op de zere plek leggen.
• Er zijn mensen die streng in de leer zijn en vinden dat iedereen zich aan de wet moet houden. Alleen daarom dienen zij een klacht in bij de Aitoriteit Persoonsgegevens.
• Er kunnen concurrenten zijn die denken er baat bij te hebben om jouw organisatie aan te geven bij de Autoriteit Persoonsgegevens.
• Er kunnen consumentenorganisaties zijn die bij de Autoriteit Persoonsgegevens over jouw organisatie aan de bel trekken.
Neem geen risico.
Pas je privacybeleid aan. De AVG is een feit. Zal niet meer verdwijnen. Heeft voordelen en nadelen. En ach, als je de cc niet meer gebruikt heb je al een van de grootste risico’s op een datalek onder controle.
Volgens de Volkskrant lopen 375.000 mkb-bedrijven in Nederland grote risico’s met hun websites. De websites blijken ronduit slecht beveiligd en kunnen relatief eenvoudig gehackt worden.
De websites van naar schatting 375.000 bedrijven in het midden- en kleinbedrijf (mkb) zijn slecht beveiligd, waardoor kwaadwillenden relatief eenvoudig gevoelige persoonsgegevens kunnen inzien.
Het gaat om drie kwart van de websites binnen het mkb die privacygevoelige informatie verwerken, schrijft de Volkskrant vrijdag. Van de slecht beveiligde websites bestaat bij een kwart zelfs het risico dat kwaadwillenden rechtstreeks toegang kunnen krijgen tot een database met gegevens. – via NU
In de eerste negen maanden van 2017 kreeg de Autoriteit Persoonsgegevens (AP) 7436 meldingen over datalekken. Een verdubbeling in vergelijking met dezelfde periode in 2016. De privacywaakhond denkt dat het aantal datalekken dat officieel gemeld wordt slechts het topje van de ijsberg betreft.
De Autoriteit Persoonsgegevens kreeg in 2017 zo’n dertig meldingen van datalekken per dag.
De meeste lekken treffen de sectoren gezondheid en welzijn, openbaar bestuur en financiële dienstverlening. De privacygegevens die gelekt worden betreffen vooral naam, adres, woonplaats, geslacht, geboortedatum en leeftijd.
Meestal gaat het mis wanneer iemand persoonsgegevens per ongeluk naar de verkeerde ontvanger stuurt.
Het aantal gemelde hacks is vrij laag. In 6 procent van de gevallen lekt informatie uit doordat iemand binnendringt in de computersystemen van een bedrijf of organisatie.
“Er zijn ook lekken die niet gemeld worden. Dat is veel ernstiger, maar we weten niet hoeveel dat er zijn. We gaan er meer aandacht aan besteden dat mensen echt moeten melden. Het kan niet zo zijn dat organisaties die een lek wel melden een zondebok worden en organisaties die het niet melden ermee wegkomen”, verklaarde de Autoriteit Persoonsgegevens na een bericht in dagblad Trouw.
Uber-hack
De meldingen die AP krijgt, kunnen sterk in omvang verschillen. Zo kan een melding gaan over de uitgelekte gegevens van één persoon, maar ook over de Uber-hack waarbij gegevens van zeker 174.000 Nederlanders uitlekte.
De Autoriteit kan bij ernstige lekken een hoge boete opleggen, maar tot nu toe zijn er alleen waarschuwingen gegeven.
”Een boete is niet het doel, maar een middel. Als het wordt opgelost in het stadium van waarschuwingen, is er geen reden voor boetes”, zegt een woordvoerster.
Hoewel er een meldplicht voor datalekken bestaat, worden veel lekken toch onder de pet gehouden. Bedrijven vrezen voor reputatieschade wanneer bekend wordt dat zij mogelijk onveilig zijn omgegaan met de gegevens van klanten.
Dat gebeurde ook bij de grote Uber-hack, die eind 2016 al bekend was bij de top van het bedrijf maar bewust werd verzwegen.
De AVG komt op veel punten overeen met zijn voorloper, de Wet bescherming persoonsgegevens (Wbp). In de praktijk moesten bedrijven in Nederland al aan veel van de privacyregels voldoen. Google laat zijn Nederlandse gebruikers bijvoorbeeld weten dat het bedrijf “niets verandert aan de manier waarop uw gegevens worden verwerkt.”
Een van de zaken die wel verandert, is dat de AVG bedrijven verplicht hun privacyverklaring in heldere taal te schrijven. Dat betekent dat de privacyverklaring vanaf 25 mei geschikt moet zijn voor de doelgroep, dat het duidelijk is welke gegevens een bedrijf verwerkt en dat de verklaring duidelijk leesbaar is.
