British Airways riskeert een boete van zo’n 200 miljoen euro voor het verlies van klantengegevens na een cyberaanval en dat ondanks de snelle reactie en communicatie van het bedrijf hierover. Catherine Van de Heyning en Anneleen Van de Meulebroucke vragen zich af of dit de juiste aanpak is.
British Airways reageerde snel toen het in september 2018 geconfronteerd werd met een cyberaanval waarbij persoonsgegevens van 800.000 passagiers verloren gingen. Daags na de ontdekking informeerde de vliegtuigmaatschappij haar klanten, de media en de autoriteiten. De CEO van British Airways beloofde zelfs om passagiers te vergoeden. Volgens het boekje, moeten ze bij British Airways gedacht hebben. Dat was buiten de Britse gegevensbeschermingsautoriteit ICO gerekend. Na een maandenlang onderzoek kwam de ICO tot de vaststelling dat de gegevensbeveiliging bij British Airways ondermaats was en daardoor in strijd met de Europese regels (de gevreesde GDPR).
Die regels verplichten bedrijven persoonsgegevens te beveiligen op een manier die aangepast is aan onder meer de stand van de techniek, het risico en de gevoeligheid van deze gegevens. Van British Airways mag je dus wat meer verwachten dan van de bakker om de hoek. Sinds de GDPR uit de startblokken is geschoten, zien we dat autoriteiten veel aandacht besteden aan die beveiliging en niet terugdeinzen om hiervoor te beboeten.
Terecht ligt de focus eerder op de gebrekkige beveiliging door grote spelers dan de eenmalige lapsus van een individuele medewerker die gaat neuzen in andermans gegevens (al blijven zij ook niet buiten schot). Een gebrekkige cybersecurity brengt elke klant of werknemer in gevaar voor cybercriminelen. Met de enorme stijging van cybercriminaliteit in het achterhoofd, rest er op dat punt dus weinig medelijden met British Airways.
Maar toch…. De GDPR voerde ook een meldplicht in voor gegevensinbreuken. Bedrijven moeten (mogelijk) gegevensverlies melden aan de autoriteiten en in bepaalde gevallen ook aan de slachtoffers. Wie zijn kredietkaartgegevens ontfutseld ziet, kan daardoor een nieuwe kaart en code aanvragen en zich beschermen. Vanzelfsprekend staan er boetes op het niet-melden.
Spreken of zwijgen na een cyberaanval? Altijd prijs
In de realiteit wordt maar een fractie van die incidenten gemeld: in 2018 waren er 445 meldingen in België tegenover 20.881 in Nederland. Dat kan liggen aan het feit dat het bedrijf in kwestie zelf niet beseft dat er gegevens verloren zijn gegaan. Volgens de voormalige CEO van Cisco zijn er dan ook maar twee soorten bedrijven: bedrijven die reeds werden gehackt en bedrijven die nog niet weten dat ze zijn gehackt. Soms is het niet-melden echter een bewuste keuze. Bedrijven durven al wel eens afwegen of een melding niet meer (reputatie)schade oplevert dan een mogelijke boete. Zo meldde Yahoo! pas 2 jaar na de vaststelling dat alle 3 miljard accounts aangetast waren door een datalek.
De megaboete voor British Airways kan een bijkomende reden zijn voor bedrijven om te zwijgen als ze beseffen dat hun eigen cybersecurity niet volgens het boekje was. De vraag is dus of de overheid met deze extreme boetes bedrijven niet ontraadt om te melden. Vaak komt de gebrekkige bescherming pas aan het licht bij een datalek en dus na een melding. De GDPR laat wel toe om bij de bepaling van een boete rekening te houden met de goede medewerking en het vrijwillig melden, maar in de praktijk vertaalt zich dat niet altijd in mildheid. Zo zien we dat in de ons omringende landen, en in het bijzonder in het Verenigd Koninkrijk, bijzonder hoge boetes worden opgelegd voor gebrekkige cybersecurity in vergelijking met andere gegevensinbreuken . Uber kreeg in het VK een boete van “maar” 385,000 pond voor het verzwijgen van een datalek in 2016 dat 2,7 miljoen gebruikers raakte (voor de GDPR weliswaar). De autoriteit blijkt bij een verlies van gegevens door een geslaagde cyberaanval niet altijd in de eerste plaats bezorgd om verbeteringsmaatregelen, maar grijpt al snel naar boetes.
Dit is geen pleidooi voor fluwelen handschoenen voor bedrijven. Nog al te vaak gaan ze laks om met de grote verantwoordelijkheid die ze dragen voor onze gegevens, terwijl ze die veelal gratis en voor niks krijgen. Je mag dan ook verwachten dat bedrijven investeren in een straffe bescherming. Dit is wel een pleidooi vanuit ons eigenbelang, zeg maar die van de burgers, klanten, werknemers en gebruikers die nog steeds onwetend zijn over het gebruik van hun eigen gegevens. Bedrijven aanmoedigen om minstens de autoriteiten en ons te waarschuwen als cybercriminelen met onze bankkaartgegevens, paswoorden of medische gegevens aan de haal zijn, moet een topprioriteit zijn.
Fout opgemerkt of meer nieuws? Meld het hier