De Britse privacytoezichthouder ICO heeft de luchtvaartmaatschappij British Airways een boete opgelegd van 22 miljoen euro. Volgens de toezichthouder is de maatschappij verantwoordelijk voor een datalek waarbij de gegevens van 429.000 klanten zijn gestolen.

Hackers zijn er in juni 2018 in geslaagd om de persoonlijke gegevens van 429.000 klanten van British Airways te stelen, waaronder namen, adresgegevens, betaalkaartnummers en CVV-nummers van 244.000 klanten. Ze konden die gegevens bemachtigen door een kwaadaardige code aan de script van de site toe te voegen.

Te laat opgemerkt

Volgens de toezichthouder heeft de luchtvaartmaatschappij het datalek veel te laat opgemerkt. British Airways had pas in september een eerste waarschuwing uitgestuurd nadat een derde partij de maatschappij op de hoogte had gebracht.

Daarenboven had het bedrijf de kwetsbaarheden in de beveiliging van de site moeten vinden en aanpakken. ‘Als de luchtvaartmaatschappij dat had gedaan, had de aanval van 2018 niet op die manier kunnen plaatsvinden’, klinkt het.

Grootste boete ooit

Het is de grootste boete die de ICO ooit aan een bedrijf heeft opgelegd. ‘Als organisaties slechte beslissingen nemen met de privégegevens van mensen, kan dat een reële impact hebben op hun leven’, stelt de toezichthouder.

De boete ligt wel een pak lager dan British Airways gevreesd had. In juli vorig jaar had ze bekendgemaakt dat die tot 200 miljoen euro kon bedragen. Maar de ICO hield onder meer rekening met de impact van het coronavirus op de activiteiten van British Airways.

In mei was een ander Brits bedrijf, EasyJet, ook het slachtoffer van een cyberaanval die hackers toegang gaf tot de persoonlijke gegevens van ongeveer 9 miljoen klanten.