De Britse privacywaakhond Information Commissioner’s Office (ICO) heeft op 8 juli 2019 een boete van 205 miljoen euro opgelegd aan British Airways wegens schending van de Algemene verordening gegevensbescherming (AVG). De boete bedraagt 1,5% van de omzet van British Airways en is daarmee meteen de hoogste boete die tot nu toe is opgelegd wegens schending van de in mei 2018 in werking getreden privacywetgeving. British Airways is overigens niet het enige bedrijf dat werd beboet. Op 9 juli maakte de ICO bekend dat er een boete van ruim 110 miljoen euro is opgelegd aan de wereldwijde hotelketen Marriott International wegens schending van de privacyregels.
Veiligheid
De boetes aan British Airways en Marriott International werden opgelegd in verband met datalekken bij beide bedrijven. Bij British Airways hebben hackers de persoonlijke gegevens van 500.000 klanten buitgemaakt; bij Marriott International ging het om een hackaanval waarbij de gegevens van ongeveer 339 miljoen gasten openbaar werden gemaakt. In beide gevallen had het datalek betrekking op onder meer betalingsgegevens van klanten en diverse andere persoonlijke gegevens. Bij Marriott International waren ook paspoortnummers onderdeel van de hack.
De ICO verwijt de Britse bedrijven de veiligheid van de persoonlijke gegevens onvoldoende te hebben gewaarborgd. De privacyautoriteit is van mening dat elk bedrijf dat beschikt over persoonsgegevens verantwoordelijk is voor de bescherming van die gegevens. Dit geldt ook indien het gaat om persoonsgegevens die zijn verkregen na de overname van een ander bedrijf, zoals het geval was bij Marriott International. Naar aanleiding van de onderzoeken door de ICO hebben British Airways en Marriott International hun veiligheidsmaatregelen aangescherpt.
Conclusie
Uit de boetes van de IOC blijkt dat niet alleen de grote techgiganten zoals Google en Facebook onderworpen zijn aan de privacywetgeving. Alle bedrijven die beschikken over persoonlijke informatie van werknemers of klanten moeten ervoor zorgen dat deze persoonlijke informatie afdoende wordt beschermd. Gebeurt dit niet, dan lopen zij het risico op een hoge boete. Deze boete kan oplopen tot 4% van de jaaromzet van het desbetreffende bedrijf. Goede reden dus om de beveiliging van persoonlijke informatie op orde te hebben!
Zowel British Airways als Marriott International hebben aangegeven in beroep te gaan tegen de opgelegde boete.
Bent u onderwerp van onderzoek door de Autoriteit Persoonsgegevens of heeft u vragen over de toepassing van de Algemene verordening gegevensbescherming. Neem dan contact op met een van onze specialisten van Team Privacy.
