Transavia heeft van de Autoriteit Persoonsgegevens (AP) een boete van vier ton opgelegd gekregen omdat het persoonsgegevens niet goed had beveiligd.
Een paar jaar geleden kon een hacker eenvoudig bij de gegevens van 83.000 medewerkers en klanten van de airline komen.
De Autoriteit Persoonsgegevens zegt dat drie zaken niet goed gingen bij de beveiliging: de aangevallen accounts gaven toegang tot veel meer systemen dan nodig was, het wachtwoord was makkelijk te raden en er ontbraken belangrijke beveiligingsstappen bij het inloggen.
Transavia had het datalek zelf gemeld bij de Autoriteit Persoonsgegevens, die daarop een onderzoek begon. Deze concludeerde dat gezondheidsgegevens van passagiers en contactgegevens van werknemers in handen zijn gekomen van een ‘kwaadwillende derde partij’.
Volgens de Autoriteit Persoonsgegevens moeten klanten ervan uit kunnen gaan dat bedrijven zorgvuldig met hun data omgaan.
Transavia heeft geen bezwaar gemaakt tegen de boete. Deze is daarmee nu definitief.
‘We wisten het al. Het gaat over een casus uit 2015, die in 2019 naar voren is gekomen’, zegt Transavia-topman Marcel de Nooijer tegen TravMagazine.
‘Sindsdien hebben we veel IT-verbeteringen doorgevoerd en onder andere extra firewalls aangebracht. Het is net als met verkeersboetes, je betaalt ze niet graag, maar aan de andere kant, het is gebeurd en dan moet je er lering uit trekken. Je moet gewoonweg niet de mogelijkheid bieden dat zoiets kan gebeuren. Het heeft ons in 2019 zeker op scherp gezet. Sindsdien hebben we veel stappen gezet om herhaling te voorkomen. Over die stappen heeft de Autoriteit Persoonsgegevens zijn complimenten uitgesproken.’
