Als gevolg van een datalek liggen namen en contactgegevens van medewerkers van IATA-agenten op straat.
Dat meldt de ANVR op basis van informatie van IATA.
´Dit dwingt onze IATA-leden hierop verdere actie te ondernemen´, zegt de ANVR.
Dat betekent dat leden het voorval moeten melden aan hun medewerkers en zo snel mogelijk een melding moeten doen aan de Autoriteit Persoonsgegevens.
Eerder meldde de ANVR al aan de leden dat Accelya, de verwerker van de BSP-data van agenten en airlines, was gehackt via een ransomware aanval. Accelya verwerkt deze data in opdracht van IATA (International Air Transport Association).
.
Accelya informeerde IATA hierover op 5 augustus. Agenten ondervonden toen last van de hack omdat zij terug moesten schakelen naar een ´oude´ BSPlink-versie. Aangezien nieuwe applicaties van IATA-agenten hiermee niet overweg kunnen en nieuwe medewerkers niet bekend zijn met deze versie, hadden agenten hier veel last van.
Vragen hierover werden door IATA in eerste instantie afgedaan als ‘some technical problems’.
Meer dan twee weken later (als gevolg van navraag door meerdere agenten uit verschillende landen) werden agenten geïnformeerd aangezien toen duidelijk werd dat er data op straat lagen. Welke data precies was toen nog niet bekend, omdat Accelya aan IATA uiterst summiere informatie verstrekte.
IATA heeft dinsdag aanvullende informatie verstrekt aan IATA-agenten, namelijk dat het reeds eerder gemelde datalek bij de BSPlink-uitvoerder nu ook persoonsgegevens en contactgegevens betreft van IATA-medewerkers.
‘Details ontbreken opnieuw, maar aangezien de hack zich richtte op BSPlink nemen wij aan dat dit gegevens zijn die samenhangen met de persoonlijke toegang tot BSPlink, en de verschillende meldingen die het systeem automatisch kan versturen aan die medewerkers’, zegt de ANVR.
Op grond van de arbeidsrelatie die een IATA-agent heeft met zijn medewerkers wordt de IATA-agent in de Algemene verordening gegevensbescherming (AVG) in beginsel ook beschouwd als de gegevensverantwoordelijke, ongeacht dat deze gegevens in sommige zo niet veel gevallen zelf door de medewerker zijn ingevuld in BSPlink.
De ANVR: ‘Dit betekent dat onze IATA-leden hun medewerkers moeten informeren en hiervan een melding moeten doen aan de Autoriteit Persoonsgegevens. Er is immers sprake van een grensoverschrijdende ongeoorloofde en onbedoelde verstrekking van persoonsgegevens. Je moet dit binnen 72 uur doen.’
Melding kan bijvoorbeeld gedaan worden door de Functionaris Gegevensbescherming van een bedrijf of, als deze er niet is, de bestuurder, aan de Autoriteit Persoonsgegevens.
Meer informatie is hier te vinden.
De ANVR kan de melding niet collectief namens aangesloten leden doen.
De ANVR zal verder in ECTAA-verband (de Europese organisatie van brancheverenigingen, red.) ‘in gesprek gaan’ met IATA.
‘De tot nu toe gevolgde procedure en verstrekte informatie van IATA roept op zijn minst vele vragen op’, zegt de ANVR.
Afgezien dat de nieuwe versie van BSPlink niet werkt, hapert bij verschillende agenten ook de oude versie.
Tenslotte moet op korte termijn duidelijkheid komen welke persoonsgegevens en andere gegevens nog meer zijn ontvreemd, alsmede wat voor consequenties dit heeft voor het gebruik van de oude- en nieuwe BSPlink-systemen door agenten. (Foto Shutterstock).
