De Engelse toezichthouder ICO (Information Commissioner’s Office) heeft British Airways een boete van 20 miljoen pond opgelegd wegens schending van de AVG. Waarom? Omdat British Airways onvoldoende maatregelen had genomen voor de beveiliging van de persoonsgegevens. Eerder had ICO aangekondigd een boete van maar liefst 183 miljoen pond op te zullen leggen. Maar deze is verlaagd omdat Britisch Airways behoorlijk lijdt onder de corona crisis. Welke lessen kunnen organisaties hieruit trekken?
Een cyberaanval in 2018
In 2018 werd British Airways getroffen door een cyberaanval. Hierdoor werden de gegevens van ongeveer 400.000 klanten gehackt. Waaronder gevoelige gegevens. Zoals credit card gegevens.
Op zich leidt een geslaagde cyberaanval niet direct tot een boete. Dit is alleen het geval wanneer een organisatie verzuimd heeft de maatregelen te nemen die de Algemene Verordening Gegevensbescherming (AVG) eist. En hiervan was volgens ICO sprake.
Beveiligingsmaatregelen volgens de stand der techniek
Volgens de AVG moeten organisaties passende technische en organisatorische maatregelen nemen. Om de persoonsgegevens die ze verwerken zo veel mogelijk te beschermen. Daarbij moet onder meer rekening worden gehouden met de stand der techniek. Juist daar was het volgens ICO mis gegaan:
- British Airways had de cyberaanval zelf niet eens opgemerkt
- De beveiliging moet van een dusdanig niveau zijn dat het een cyberaanval kan detecteren
- De beveiligingsmaatregelen van British Airways voldeden in het geheel niet aan de stand der techniek in 2018
- Volgens ICO had de cyberaanval voorkomen kunnen worden wanneer de beveiliging van British Airways had voldaan aan de stand van de techniek
Organisaties: let op je beveiliging: vier tips
Welke lessen kunnen hieruit worden getrokken? Vier tips:
- de tijd van waarschuwen is voorbij. Als je je beveiliging niet op orde hebt volgen er boetes
- Zie het nemen van technische maatregelen als een dynamisch proces. Let erop dat de beveiliging door je ICT team steeds gecheckt en geëvalueerd wordt
- Onderzoek of er beveiligingsnormen binnen je branche zijn en sluit je hierbij aan
- Maak gebruik van beveiligingscertificaten zoals ISO en NEN. Dit is een manier om aan te tonen dat je beveiliging voldoet aan de stand der techniek.
Meer weten over de AVG?