Het voornemen van de ICO

De hack van British Airways

In september 2018 was British Airways het doelwit van een cyber incident. Een onderdeel van dit incident was het omleiden van bezoekers van de website van British Airways naar een frauduleuze website. Middels deze laatste website werden persoonsgegevens van consumenten verzameld door de hackers. Het incident lijkt al in juni 2018 te zijn ontstaan en was aanleiding voor de Information Commissioner’s Office (ICO) om een onderzoek te beginnen bij British Airways.

Het gevolg van de hack

Het door de ICO ingestelde onderzoek heeft geleid tot de conclusie dat de beveiliging van (persoons)gegevens door British Airways te wensen overliet. De persoonsgegevens die volgens het onderzoek waren gecompromitteerd waren onder meer inlog gegevens, betaalgegevens, reisgegevens en naam en adresgegevens. De ICO houdt British Airways verantwoordelijk voor de gevolgen van de hack. ‘When you are entrusted with personal data, you must look after it’, aldus Information Commissioner Elizabeth Denham.

De voorgenomen boete

Gezien de gevolgen die de hack had en het feit dat British Airways verantwoordelijk wordt gehouden, heeft de ICO aangegeven het voornemen te hebben om een boete op te leggen. De voorgenomen boete bedraagt 183,39 miljoen pond, hetgeen neerkomt op ongeveer 203 miljoen euro.

Verdere acties

British Airways heeft haar medewerking verleend bij het door de ICO verrichte onderzoek naar de hack. Ook heeft British Airways een verbetertraject ingezet nadat het incident aan het licht was gekomen. Alvorens de ICO overgaat tot het opleggen van een boete, zal British Airways eerst in de gelegenheid worden gesteld om haar zienswijze met betrekking tot de conclusie van het onderzoek en de voorgenomen boete naar voren te brengen. Deze zienswijze zal de ICO meenemen in haar definitieve besluit.