Menu

Zoek op
rubriek
Data&Privacyweb
0

AP strikes again – Transavia beboet voor onvoldoende beveiliging

Naar aanleiding van een datalekmelding van Transavia op 24 oktober 2019, stelt de Autoriteit Persoonsgegevens (AP) ambtshalve een onderzoek in naar de beveiliging van Transavia ten tijde van de inbreuk. De AP legt een boete op van EUR 400.000. Daarmee kan Transavia in het rijtje met het HagaZiekenhuis, het OLVG en het UWV, waar de AP eerder boetes oplegde voor onvoldoende beveiliging van persoonsgegevens.

13 jan 2022

De inbreuk

Op 12 september 2019 drong een kwaadwillende derde partij (hierna de ‘hacker’) de systemen van Transavia binnen. Nadat Transavia hier op 21 oktober 2019 achter kwam, deed zij op 24 oktober 2019 een datalekmelding bij de AP. Naar aanleiding van deze melding heeft de AP ambtshalve onderzocht of de technische maatregelen bij Transavia met betrekking tot de toegang tot persoonsgegevens passend waren in de zin de Algemene Verordening Gegevensbescherming (AVG) (1).

Het onderzoek en de beoordeling

Uit het onderzoek blijkt volgens de AP dat door te eenvoudige wachtwoorden die niet voldeden aan het eigen wachtwoordbeleid van Transavia en de afwezigheid van meerfactorauthenticatie, de hacker de accounts van twee gebruikers van Transavia (gemakkelijk) kon binnendringen (hierna ‘de gehackte accounts’) en toegang kon krijgen tot de Citrix omgeving (een telewerkomgeving). Vervolgens had de hacker veel vrijheden en toegang tot veel systemen doordat de toegang van de twee gehackte accounts niet was beperkt tot enkel de systemen die de gebruikers van de accounts nodig hadden. Hierdoor had de hacker toegang tot persoonsgegevens van meer dan 25 miljoen personen en kon hij persoonsgegevens van meer dan 83.000 personen en gezondheidsgegevens (zoals rolstoelgebruik, doofheid en blindheid van passagiers) van 367 personen kopiëren.

Stand van de techniek en uitvoeringskosten

Uit het onderzoek blijkt dat Transavia gebruikt maakt van twee typen gebruiker accounts: accounts die individuele personen betreffen (de ‘user accounts’) en accounts die bestaan voor meerdere personen of systemen, onder andere voor koppelingen tussen systemen (de ‘generieke accounts’). In haar antwoorden op de vragen van de AP omtrent de (hierboven genoemde) tekortkomingen geeft Transavia aan dat zij haar focus (en prioriteit) heeft gelegd op de user accounts waardoor (nog) niet was opgemerkt dat de wachtwoorden van de (generieke) gehackte accounts niet voldeden aan het wachtwoordenbeleid en de implementatie van de meerfactorauthenticatie bij de generieke accounts was vertraagd (2).

Na de inbreuk heeft Transavia meerdere beveiligingsmaatregelen doorgevoerd, zoals (i) het technisch doorvoeren van wachtwoordvereisten, (ii) het invoeren van tweefactorauthenticatie en (iii) het opdelen van het netwerk in meerdere segmenten. Gelet op de stand van de techniek ten tijde van de inbreuk en de uitvoeringskosten van de maatregelen, meent de AP echter dat Transavia deze beveiligingsmaatregelen al eerder had kunnen (en moeten) implementeren.

De AP oordeelt dan ook dat Transavia ten tijde van inbreuk geen passende maatregelen heeft getroffen om een op het risico afgestemd beveiligingsniveau te waarborgen en daarmee in strijd heeft gehandeld met artikel 32, eerste en tweede lid, van de AVG.

Bij de beoordeling of de technische maatregelen bij Transvia met betrekking tot de toegang tot persoonsgegevens passend waren als bedoeld in artikel 32 AVG, heeft de AP meegenomen dat Transavia een grote hoeveelheid persoonsgegevens verwerkt, waaronder gezondheidsgegevens en dat een inbreuk op de vertrouwelijkheid van de bijzondere persoonsgegevens en/of het terechtkomen van de persoonsgegevens in verkeerde handen, kan leiden tot (im)materiële schade voor de betrokkenen.

De boete

De overtreding van artikel 32 van de AVG is in de Boetebeleidsregels ingedeeld in categorie II. Categorie II heeft een boetebandbreedte tussen de EUR 120.000 en EUR 500.000 en een basisboete van EUR 310.000. Bij het bepalen van de hoogte van de boete heeft de AP rekening gehouden met (i) de ernst van de overtreding, (ii) de mate waarin de overtreding aan Transavia kan worden verweten, de nalatige aard van de inbreuk en de schadebeperkende maatregelen die zijn genomen door Transavia, (iii) de overige omstandigheden en (iv) de evenredigheid.

De ernst van de overtreding

De AP kwalificeert de inbreuk op de AVG als zeer ernstig omdat Transavia een grote hoeveelheid en veel soorten persoonsgegevens, waaronder gezondheidsgegevens, van meer dan 25 miljoen personen verwerkt. Daarom wordt de basisboete van EUR 310.000 door de AP verhoogd met EUR 90.000 naar EUR 400.000.

Verwijtbaarheid, nalatigheid en schadebeperkende maatregelen

De AP is van oordeel dat Transavia, gezien de (gevoelige) aard en de grote omvang van de verwerking, bijzonder nalatig (en daarmee verwijtbaar) heeft gehandeld door het niet voldoende treffen van beveiligingsmaatregelen. Daarnaast acht de AP het zeer nalatig dat Transavia wist dat niet werd voldaan aan haar wachtwoordbeleid als gevolg van de periodieke controles zij uitvoerde, maar niet (meteen) in actie is gekomen. De nalatige aard van de inbreuk geeft de AP aanleiding om te boete met EUR 25.000 te verhogen. In eerdere (vergelijkbare) boetebesluiten verhoogde de AP de boetes naar aanleiding van de nalatige aard en/of verwijtbaarheid met een aanzienlijk hoger bedrag, namelijk met EUR 75.000 bij het HagaZiekenhuis en met EUR 80.000 bij het OLVG (3). Daarentegen zag de AP bij de (meer recentere) boeteoplegging van het UWV dan weer geen aanleiding om de boete te verhogen naar aanleiding van de ‘ernstige verwijtbare nalatigheid’ van het UWV (4). Er lijkt dus geen duidelijke lijn te ontdekken in wanneer en met welke mate de AP de boete zal verhogen naar aanleiding van de nalatigheid aan de kant van de overtreder.

Daartegenover stelt de AP dat Transavia na kennisname van de inbreuk veel schadebeperkende maatregelen heeft genomen. De schadebeperkende maatregelen geven aanleiding om te boete weer met EUR 25.000 te verlagen. Daarmee worden de nalatige aard en de schadebeperkende maatregelen als het ware door de AP tegen elkaar weggestreept en blijft de boete staan op EUR 400.000. Dit is lager dan de boetes die de AP heeft opgelegd aan het UWV, OLVG en het HagaZiekenhuis voor de onvoldoende beveiliging van persoonsgegevens (5).

Overige omstandigheden

Transavia voert aan dat de betrokkenen met aan zekerheid grenzende waarschijnlijkheid geen nadelige gevolgen hebben ondervonden van het datalek. De AP gaat hier niet in mee en merkt daartoe op dat het recht op bescherming van persoonsgegevens van verschillende betrokkenen wel degelijk is geschaad, doordat bijvoorbeeld gezondheidsgegevens van passagiers en contactgegevens van werknemers in handen zijn gekomen van een kwaadwillende partij. Daardoor zijn de betrokkenen volgens de AP verhinderd in het behouden van de regie van hun persoonsgegevens.

Transavia geeft verder aan dat zij zo goed mogelijk heeft meegewerkt aan het onderzoek van de AP. De AP is echter van mening dat Transavia niet verder is gegaan dan haar wettelijke plicht en niet op bijzondere wijze heeft samengewerkt met de AP. In samenhang met eerdere boetebesluiten blijkt dat de AP in medewerking niet (snel) aanleiding ziet om de boete te matigen.

In de Boetebesluiten van o.a. Booking en het HagaZiekenhuis oordeelde de AP hetzelfde.

De omstandigheden die worden genoemd door Transavia geven dan ook geen aanleiding om af te zien van de boeteoplegging dan wel de boete te matigen (6).

What is next?

Transavia is niet in bezwaar gegaan tegen de boete en daarmee is de boete definitief. Wellicht krijgt dit nog een staartje voor Transavia. Gezien het groot aantal personen dat is betrokken bij deze inbreuk, zou dit namelijk wel eens kunnen resulteren in een collectieve schadeclaim (zoals ook bij de GGD-datalek). De AP heeft de betrokkenen in ieder geval alvast een handje in de juiste richting geholpen om aan te onderbouwen dat schade ‘zo voor de hand ligt dat aantasting in de persoon kan worden aangenomen’, door op te merken dat (i) Transavia bijzonder nalatig heeft gehandeld (verwijtbaarheid), (ii) door de inbreuk het recht van bescherming van persoonsgegevens van verschillende betrokken zijn geschaad en de inbreuk kan leiden tot (im)materiële schade voor de betrokkenen (ernst van de gevolgen), (iii) de inbreuk als zeer ernstig kwalificeert (ernst) en (iv) de hacker toegang had tot een grote hoeveelheid persoonsgegevens, waaronder gezondheidsgegevens (aard en gevoelige gegevens) (7).

(1) Op grond van artikel 5, lid 1, sub f van de AVG moeten persoonsgegevens door het nemen van passende technische en organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Op grond van artikel 32 lid 1 van de AVG moet de verwerkingsverantwoordelijke (of verwerker) rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsodeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, bij het treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.


(2) De focus (en prioriteit) lag op de user accounts omdat er in verhouding meer “user accounts” zijn en door Transavia werd geacht dat uit deze accounts de meeste risico’s zouden voortvloeien.
(3) Boetebesluit 18 juni 2019 (HagaZiekenhuis) p.21 en Boetebesluit 26 november 2020 (OLVG), p. 20.
(4) Boetebesluit 31 mei 2021 (UWV), p. 23.
(5) Bij het UWV legde de AP een boete op van EUR 450.000, bij het OLVG een boete van EUR 440.000 en bij het HagaZiekenhuis een boete van 460.000.
(6) In de Boetebesluiten van o.a. Booking en het HagaZiekenhuis oordeelde de AP hetzelfde.
(7) Zie HR 15 maart 2019, ECLI:NL:2019:376 (r.o. 4.2.1), ABRvS 1 april 2020, ECLI:NL:RVS:2020:898 (Pieter Baan) (r.o. 32), ABRvS 1 april 2020, ECLI:NL:RBNNE:2020:899 (Deventer) (r.o. 33) ABRvS. Midden-Nederland 4 mei 2021, ECLI:NL:RBMNE:2021:1865 (SVB) (r.o. 36),

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.