AP legt boete op vanwege slechte beveiliging van persoonsgegevens

Op 23 september 2021 heeft de Autoriteit Persoonsgegevens ("AP") een boete van € 400.000 opgelegd aan de Nederlandse vliegtuigmaatschappij Transavia vanwege het nemen van onvoldoende beveiligingsmaatregelen van persoonsgegevens ten opzichte van het risico dat de gegevensverwerking met zich meebracht.

Transavia is in 2019 het slachtoffer geworden van een hacker. Deze hacker kon door de slechte beveiligingsmaatregelen toegang verkrijgen tot de interne systemen van Transavia. De hacker kon binnenkomen door gebruik te maken van een zogenoemde "password spray" of "credential stuffing". Password spray ziet op een aanval waarbij de hacker veelgebruikte wachtwoorden invoert om ongeautoriseerde toegang te verkrijgen tot de systemen. Credential stuffing ziet op aanvallen waarbij de hacker bekende inloggegevens of andere toegangsgegevens van gebruikers gebruik om toegang te krijgen tot de systemen.
 
Nadat Transavia de inbreuk had ontdekt in oktober 2019, is een forensisch onderzoek uitgevoerd. Grotendeels zag de hack op het verkennen van de systemen, maar er zijn ook documenten gekopieerd, zoals zakelijke documenten en zes e-mailboxen. Pas in november 2019 slaagde Transavia erin om de inbreuk te verhelpen.
 
De hacker had zich toegang verschaft met veel toegangsrechten tot de systemen. Dit leidde ertoe dat persoonsgegevens van passagiers, leveranciers en werknemers gedownload zijn door de hacker. Daarnaast had de hacker toegang tot de persoonsgegevens van 25 miljoen betrokkenen. Volgens Transavia betrof het in totaal 80.000 passagiers, 200 leveranciers en circa 3000 werknemers. Deze persoonsgegevens bevatten de volgende informatie:
 

• Passagiers: voor- en achternaam, geboortedatum, vluchtinformatie en SSR-code;
• Leveranciers: voor-en achternaam, zakelijk e-mailadres, e-mailadres en telefoonnummer;
• Werknemers: 10 C.V.-bestanden, voor-en achternaam, telefoonnummer, adres, e-mailadres en geboortedatum.

 
Transavia heeft vervolgens melding gemaakt van de inbreuk bij de AP en bij de getroffen betrokkenen.

Genomen maatregelen door Transavia

In de situatie voorafgaande aan de hackaanval maakte Transavia gebruik twee soorten gebruikersaccounts, "user accounts" en "generieke accounts". De eerste groep betreft accounts van verschillende individuen. De tweede groep accounts zijn accounts bestemd voor meerdere personen of systemen, waarop automatisch ingelogd wordt.
 
De AP heeft Transavia erop gewezen dat er onvoldoende maatregelen zijn genomen om de toegang tot de systemen te beveiligen. Nota bene staat in het wachtwoordbeleid van Transavia dat meerfactorauthenticatie vereist is. In de praktijk is dit niet ingevoerd met betrekking tot de gebruikers. Daardoor kon de hacker toegang verkrijgen tot de persoonsgegevens. Transavia heeft aangegeven intern bezig te zijn geweest met het instellen van meerfactorauthenticatie, maar dat dit proces vertraging opliep en nooit is doorgevoerd bij de user accounts en generieke accounts. Daarnaast had Transavia de interne systemen niet gescheiden, waardoor de hacker zonder problemen toegang verkreeg tot een grote hoeveelheid persoonsgegevens. Dit is opvallend omdat het gebruikelijk is gebruikers slechts toegang te geven tot de delen van de systemen die zij nodig hebben.

Beoordeling AP

De AP stelde vast dat Transavia weliswaar een wachtwoordbeleid heeft opgezet en ook periodiek beveiligingscontroles uitvoerde, maar dat uit deze controles bleek dat er niet werd voldaan aan het eigen beveiligingsbeleid. Bovendien neemt de AP het Transavia kwalijk dat niet op tijd meerfactorauthenticatie is opgezet en dat het bedrijf niet opmerkte dat er slechte wachtwoorden werden gebruikt. Dat een kwaadwillende vervolgens toegang kreeg tot een groot deel van de systemen van Transavia had voorkomen kunnen worden als Transavia haar interne systemen gescheiden had gehouden.
 
Vandaar dat de AP oordeelt dat het voorafgaand aan de inbreuk wel degelijk mogelijk was om voldoende maatregelen te treffen die een hack hadden kunnen voorkomen. Kortom, Transavia heeft onvoldoende maatregelen getroffen terwijl deze wel voorhanden waren en voldoet daarmee niet aan artikel 32 Algemene Verordening Gegevensbescherming. Daarbij komt dat de nadelige gevolgen voor betrokkenen zich kunnen vertalen in immateriële en materiële schade. Transavia verwerkte ook bijzondere persoonsgegevens waardoor een dergelijke inbreuk ook discriminatie en fraude tot gevolg zou kunnen hebben. Op grond van de boetebeleidsregels van de AP wordt de boete gezien de omstandigheden vastgesteld op € 400.000.

Aanbeveling

Het is belangrijk voor bedrijven om de risico's in kaart te brengen die kleven aan de verwerking van persoonsgegevens. Daarnaast kan het verstandig zijn om in overleg te treden met verwerkers, omdat zij mogelijk meer kennis bezitten en kunnen inschatten welke beveiligingsmaatregelen noodzakelijk zijn. Meerfactorauthenticatie of tweefactorauthenticatie en het instellen van strikte toegangsrechten tot bepaalde delen van de interne systemen zijn twee voorbeelden van gangbare maar noodzakelijke beveiligingsmaatregelen. Het is verstandig om binnen de eigen organisatie periodiek te controleren of persoonsgegevens wel voldoende beschermd zijn en of er aanvullende maatregelen nodig zijn.   
 
Mocht u naar aanleiding van dit artikel vragen hebben dan horen wij dat graag.