Afgelopen week werd bekend dat de Autoriteit Persoonsgegevens Transavia een boete van 400.000 euro heeft opgelegd wegens het onvoldoende beveiligen van persoonsgegevens. Een hacker kon daardoor (te eenvoudig) bij de persoonsgegevens van meer dan 25 miljoen mensen komen en downloadde van zeker 83.000 mensen ook daadwerkelijk de informatie. Dit kon door een opeenstapeling van ‘fouten’.

Zo kon de hacker twee accounts van de IT-afdeling van Transavia overnemen, doordat deze accounts een wachtwoord in de categorie "123456", "Welkom" en "wachtwoord" gebruikten. En alleen dit wachtwoord was voldoende om vervolgens toegang te krijgen tot het account. Er was geen zogeheten 'tweefactorauthenticatie' aanwezig, waarbij je bijvoorbeeld nog een 'tweede' inlogcode per sms krijgt. De accounts bleken vervolgens ook nog eens toegang te hebben tot zo ongeveer alle systemen waarover Transavia beschikte. Met andere woorden, de toegang ging veel verder dan enkel het noodzakelijke. Transavia had hiermee de spreekwoordelijke ‘rode loper’ voor de hacker uitgerold, waardoor de datadiefstal wel erg eenvoudig was.

De zaak is niet de eerste in een reeks boetes die zijn opgelegd ten aanzien van slecht beveiligde persoonsgegevens. Eerder kregen onder meer het HagaZiekenhuis en het Amsterdamse ziekenhuis OLVG al enkele tonnen aan boetes aan de broek voor vergelijkbare vergrijpen. De AVG vereist immers in artikel 32 dat je de persoonsgegevens waarover je beschikt goed en adequaat beveiligd. Hoe meer gegevens je verwerkt of hoe gevoeliger deze gegevens zijn, hoe beter de beveiliging op orde moet zijn. Laat deze Transavia zaak nu een schoolvoorbeeld zijn van hoe je daar niet aan voldoet.

Heeft u vragen over de werking van de AVG, andere privacy issues of wilt u weten hoe u in uw geval zorgt voor een adequate beveiliging van de persoonsgegevens? Neem dan vooral contact op met ons privacy team, contact advocaat Sebastiaan van Wijk via vanwijk@dayonelegal.nl