In 2019 dringt een hacker binnen in de systemen van luchtvaartmaatschappij Transavia en krijgt daarmee toegang tot de persoonsgegevens van 25 miljoen mensen. De hacker download ongeveer 83.000 van deze persoonsgegevens. Deze bestaan onder meer uit een lijst met passagiersgegevens met namen, geboortedata en vluchtinformatie en uit medische gegevens. De Autoriteit Persoonsgegevens (AP) legt Transavia een boete op van 400.00 euro. Dit doet de AP omdat het een ernstige overtreding van de privacywet, de Algemene verordening gegevensbescherming (AVG), betreft.
Technische en organisatorische beveiligingsmaatregelen
De AVG schrijft voor dat een organisatie die persoonsgegevens verwerkt, passende technische en organisatorische maatregelen neemt om de gegevens te beschermen tegen diefstal, verlies of beschadiging. Technische maatregelen hebben betrekking op een voldoende beveiliging door middel van ICT-maatregelen zoals antivirussoftware en een firewall. Organisatorische maatregelen moeten er voor zorgen dat alleen medewerkers die daarvoor zijn geautoriseerd, toegang hebben tot persoonsgegevens. Daar hoort bij dat medewerkers alleen kunnen inloggen met een gebruikersnaam en een sterk wachtwoord. Een extra maatregel die daarbij kan worden getroffen is het gebruik van een meerfactorauthenticatie. Daarbij moet op minimaal twee verschillende manieren worden ingelogd, bijvoorbeeld met een wachtwoord én met een code die je per sms ontvangt.
Onvoldoende beveiliging
De hacker wist zich toegang te verschaffen tot de systemen van Transavia door twee accounts van de IT-afdeling van het bedrijf te gebruiken. Dat bleek mogelijk doordat het wachtwoord makkelijk was te raden, hetgeen voldoende was om het systeem binnen te komen. Er werd dus niet gewerkt met meerfactorauthenticatie. Toen de hacker eenmaal via de twee accounts toegang had, kon hij een groot aantal systemen van Transavia raadplegen. De toegang van deze twee accounts was namelijk niet beperkt tot alleen voor de betreffende IT-medewerkers noodzakelijke systemen.
Oordeel AP
AP-bestuurslid Katja Mur geeft aan dat de gegevens die zijn gedownload heel handig kunnen zijn voor oplichters, die de gegevens kunnen gebruiken voor identiteitsdiefstal of om iemand geld afhandig te maken via bijvoorbeeld WhatsApp-fraude. Passagiers moeten er vanuit kunnen gaan dat luchtvaartmaatschappijen erg voorzichtig met hun data omgaan en die uitermate goed beveiligen. Dat bleek bij Transavia niet het geval.
De AP acht het zeer ernstig dat een hacker toegang kon hebben tot persoonsgegevens van miljoenen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord. Het ging om een wachtwoord dat al jaren bovenaan staat in de lijstjes met meest gebruikte wachtwoorden, in de trant van "123456", "Welkom" en "wachtwoord".' Andere belangrijke drempels om het een hacker moeilijk te maken, ontbraken ook. Reden voor de AP om een boete van 400.000 euro op te leggen.
De AP meldt dat Transavia na kennisname van het datalek direct maatregelen heeft genomen om de persoonsgegevens beter te beschermen.
Cursus 'Privacy: actualiteiten'
Wilt u alles weten over de actuele ontwikkelingen binnen het privacyrecht? Volg dan de cursus ‘Privacy: actualiteiten’. Onze privacy-specialist, mr. Arjo Buurma, praat u dan bij over de recente jurisprudentie en nieuwsberichten van de AP.