British Airways og Marriott får kæmpe bøder

Denne side kan indeholde links til partnere, som betaler os kommission for salg.

Der har i denne uge været to store sager omkring datatab i forbindelse med hackerangreb. Det drejer sig om hackerangrebene mod British Airways og Marriott.

I de sidste par år op mod indførselen af GDPR eller persondataforordningen i Danmark og resten af EU, været meget tale om hvor vigtigt det er at få beskyttet de såkaldte personfølsomme oplysninger. Når det drejer sig om flyselskaber og hotelkæder, så har de stort set kun personfølsomme data i deres forskellige IT systemer. Derfor skulle man tro at disse virksomheder ville gøre ekstra meget ud af ikke at ende i den situation, som både British Airways og Marriott er endt i. De er begge været udsat for hacker angreb, som har taget store mængder af personfølsomme data. British Airways mistede persondata på mindst 500.000 kunder. I tilfældet Marriott, så var det reservationsdata som blev mistet og derfor ikke et fuld datasæt af personoplysninger, men status ting som navn og betalingsoplysninger.

Bødestørrelsen

Det betyder så, ifølge GDPR forordningen, at de kan dømmes en bøde på op mod 4% af virksomhedens samlede omsætning eller op til 20 mio. euro. Grunden til den høje bøde er at datatab falder ind i den såkaldte “Tier 2”. Havde der ikke været et datatab ved angrebet, så ville det nok falde ind under “Tier 1” og så var den maksimale bødestørrelse “kun” 2% af virksomhedens samlede omsætning eller op til 10 mio. euro.

British Airways blev mandag informeret af det engelske “Information Commissioner’s Office” eller ICO, at de havde fået en bøde på 183,4 mio britiske pund.

Som kommentar til bøden udtaler ICO:

Personers personlige data er netop personlige. Når en organisation fejler i at beskytte disse fra at blive tabt, skadet eller stjålet, så er det mere end blot ubelejligt. Det er her loven er klar – når du har sådanne data og er blevet betroet dem, så skal du passe på dem. Dem som ikke gør dette vil blive udsat for kontrol fra mit kontor for at sikre at de har taget de nødvendige skridt til at beskytte de helt fundamentale privatpersonsrettigheder.

Elizabeth Denham, UK Information Commissioner

Marriott blev så i går tirsdag informeret om at ICO havde givet dem en bøde på 99 mio. britiske pund. ICO giver i deres begrundelse for bøden at selve den due diligence som var lavet i forbindelsen med sammenlægningen mellem Marriott og Starwood kunne have afsløret databruddet i reservationssystemet og dermed ville de have kunne undgået en bøde i den størrelse.

Som kommentar til bøde udtaler ICO:

GDPR gør det helt klart at organisationer vil blive holdt ansvarlige for de personfølsomme data de gemmer. Dette kan inkludere at der laves en ordentlig due diligence, når der laves en sammenlægning af to organisationer. Dertil skal de nødvendige tiltag tages for at sikre hvilke personfølsomme data der er modtaget, samt hvordan de er beskyttet.

Personfølsomme data har en reelt værdi for organisationerne og derfor har de et klart legalt ansvar for at sikre disses sikkerhed, på samme måde som andre aktiver. Hvis dette ikke sker, så vil vi ikke tøve med at tage hurtig aktion for at sikre beskyttelse af borgernes rettigheder.

Elizabeth Denham, UK Information Commissioner

Så ICO har haft et par travle dage i denne uge. Men det sender også et klar budskab om hvor store bødestørrelse der er tale om. Det er bestemt ikke småpenge som vi taler om.

Vi mangler forsat at se den første sag i Danmark i rejsebranchen, men Datatilsynet har allerede været ude på flere besøg, så det er nok desværre kun et spørgsmål om tid før de dukker op i offentligheden.

Forsidebillede: Jumpstory

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *